「PHPMailer」に重大な脆弱性、直ちにパッチ適用を

PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。

» 2016年12月27日 08時41分 公開
[鈴木聖子ITmedia]

 PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Internet Storm Centerは直ちにパッチを適用するよう呼び掛けている。

 脆弱性を発見したセキュリティ研究者ダビド・ゴルンスキ氏によると、PHPMailerは「PHPからメールを送信するための世界一人気の高いコード」で、WordPressやDrupalなど多数のオープンソースプロジェクトに使われている。

photo SANS Internet Storm Centerのページ

 今回見つかった脆弱性を突かれれば、Webサイトのコメント欄や登録フォームなど、PHPMailer経由で電子メールを送信する機能を利用して、リモートの攻撃者が任意のコードを実行し、標的とするWebアプリケーションを制御できてしまう恐れがある。コンセプト実証コードも公開された。

 この問題はPHPMailerのバージョン5.2.18で修正された。SANSでは「パッチを適用しないまま放置すれば悪用される」と警告し、速やかな対応を促している。

関連キーワード

PHP | 脆弱性 | SANS


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ