ALERTAS | Noticias | 02 ENE 2017

Un defecto de PHPMailer pone en riesgo millones de páginas web

La vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios de shell en servidores web.
hacking
Redacción

Un fallo en el código de PHPMailer, una de las bibliotecas de correo electrónico de PHP más utilizadas, podría poner en riesgo a millones de sitios web. Este defecto, que fue encontrado por un investigador de seguridad llamado Dawid Golunski, ha sido causado por una validación insuficiente de la entrada de la dirección de correo electrónico del remitente y puede permitir a un atacante inyectar comandos de shell que se ejecutarían en el servidor web en el contexto del programa sendmail.

Sin embargo, la explotación exitosa requiere la presencia de un formulario web en el sitio web que utiliza PHPMailer para enviar correos electrónicos y permite ingresar una dirección de correo electrónico personalizada del remitente, la dirección que aparece en el encabezado de correo electrónico. No está claro si son muy comunes son estas configuraciones porque normalmente los formularios web tienen el correo electrónico del remitente predefinido y sólo permiten a los usuarios ingresar su propia dirección de correo electrónico como destinatario.

La biblioteca PHPMailer se utiliza directa o indirectamente por muchos sistemas de gestión de contenidos (CMS), incluyendo WordPress, Joomla y Drupal. Cuando la biblioteca no está incluida en su código principal, es probable que esté disponible como un módulo independiente o puede ser incluido con complementos de terceros. Debido a esto, el impacto del fallo puede variar de un sitio a otro.

"La próxima versión 4.7.1 contendrá la mitigación de estos problemas", dijo el desarrollador líder de WordPress, Dion Hulse. "Estamos comprometidos a enviar sólo bibliotecas seguras con WordPress, independientemente de si utilizamos la función o no". A su vez, el equipo de seguridad de Drupal también puso a cabo un aviso de seguridad para este problema y se marca como crítica, a pesar de que el código de su núcleo no es afectado por el fallo.

Como precaución, es necesario actualizar la biblioteca a la versión más nueva tan pronto como se publique. En el caso de utilizar un sistema de gestión de contenido, es importante comprobar el sitio web de soporte  para determinar si se ve afectado en su configuración determinada. 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información