PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Internet Storm Centerは直ちにパッチを適用するよう呼び掛けている。
脆弱性を発見したセキュリティ研究者ダビド・ゴルンスキ氏によると、PHPMailerは「PHPからメールを送信するための世界一人気の高いコード」で、WordPressやDrupalなど多数のオープンソースプロジェクトに使われている。
今回見つかった脆弱性を突かれれば、Webサイトのコメント欄や登録フォームなど、PHPMailer経由で電子メールを送信する機能を利用して、リモートの攻撃者が任意のコードを実行し、標的とするWebアプリケーションを制御できてしまう恐れがある。コンセプト実証コードも公開された。
この問題はPHPMailerのバージョン5.2.18で修正された。SANSでは「パッチを適用しないまま放置すれば悪用される」と警告し、速やかな対応を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR