Un defecto de PHPMailer pone en riesgo millones de páginas web

La vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios de shell en servidores web.

También te puede interesar:

Redacción
02 ENE 2017

Un fallo en el código de PHPMailer, una de las bibliotecas de correo electrónico de PHP más utilizadas, podría poner en riesgo a millones de sitios web. Este defecto, que fue encontrado por un investigador de seguridad llamado Dawid Golunski, ha sido causado por una validación insuficiente de la entrada de la dirección de correo electrónico del remitente y puede permitir a un atacante inyectar comandos de shell que se ejecutarían en el servidor web en el contexto del programa sendmail.

Sin embargo, la explotación exitosa requiere la presencia de un formulario web en el sitio web que utiliza PHPMailer para enviar correos electrónicos y permite ingresar una dirección de correo electrónico personalizada del remitente, la dirección que aparece en el encabezado de correo electrónico. No está claro si son muy comunes son estas configuraciones porque normalmente los formularios web tienen el correo electrónico del remitente predefinido y sólo permiten a los usuarios ingresar su propia dirección de correo electrónico como destinatario.

La biblioteca PHPMailer se utiliza directa o indirectamente por muchos sistemas de gestión de contenidos (CMS), incluyendo WordPress, Joomla y Drupal. Cuando la biblioteca no está incluida en su código principal, es probable que esté disponible como un módulo independiente o puede ser incluido con complementos de terceros. Debido a esto, el impacto del fallo puede variar de un sitio a otro.

"La próxima versión 4.7.1 contendrá la mitigación de estos problemas", dijo el desarrollador líder de WordPress, Dion Hulse. "Estamos comprometidos a enviar sólo bibliotecas seguras con WordPress, independientemente de si utilizamos la función o no". A su vez, el equipo de seguridad de Drupal también puso a cabo un aviso de seguridad para este problema y se marca como crítica, a pesar de que el código de su núcleo no es afectado por el fallo.

Como precaución, es necesario actualizar la biblioteca a la versión más nueva tan pronto como se publique. En el caso de utilizar un sistema de gestión de contenido, es importante comprobar el sitio web de soporte para determinar si se ve afectado en su configuración determinada.

Imprimir Subir

TE PUEDE INTERESAR...

ENTREVISTAS

"Tener demasiadas soluciones de seguridad puede suponer un freno para la digitalización"

TENDENCIAS

'Electrosmog': ¿son los límites a la radiación electromagnética demasiado laxos?

EMPRESAS

Veeam anuncia la adquisición de Coveware

TENDENCIAS

10 aspectos de la seguridad física a tener en cuenta por los CISO

TENDENCIAS

Más de la mitad de las empresas españolas carece de una estrategia de ciberseguridad para la IA

TENDENCIAS

Guerra a los jefes de ciberseguridad tóxicos; cómo ser un mejor CISO

EMPRESAS

Cisco anuncia un servicio de IA para parchear 'exploits' en la nube

CIBERCRIMEN

Microsoft avisa de que Rusia ha comenzado operaciones de influencia para las elecciones estadounidenses

TENDENCIAS

Cómo identificar y proteger la inteligencia artificial en los entornos híbridos

EMPRESAS

Acronis logra el nivel alto del Esquema Nacional de Seguridad

CIBERCRIMEN

Dos asociaciones 'open source' alertan del intento de sabotaje de varios softwares populares

TENDENCIAS

La CISA abre a empresas e individuos su herramienta de análisis de 'malware'

CIBERCRIMEN

Apple detecta una amenaza de 'spyware' en cientos de usuarios de iPhone en más de 90 países

EMPRESAS

Un nuevo fallo de seguridad en Microsoft: empleados expusieron credenciales internas

EMPRESAS

Ivanti rediseñará sus controles de seguridad y la gestión de vulnerabilidades

EMPRENDEDORES

La 'startup' vasca de privacidad de datos Nymiz capta 2,8 millones de euros de financiación

TENDENCIAS

Un grupo de investigadores descubre técnicas de evasión de filtración de datos en SharePoint

TENDENCIAS

El 80% de las empresas españolas ha sufrido un ciberataque en su infraestructura OT

TENDENCIAS

Sólo un 2% de las empresas españolas tiene una ciberseguridad madura, aunque el 74% cree tenerla

CIBERCRIMEN

Un ataque a la Agencia de Protección Ambiental de Estados Unidos expone datos de millones de usuarios

Especial Tendencias Ciberseguridad 2024

La industria de la ciberseguridad pisa el acelerador ante las nuevas tendencias tecnológicas

Así mueven ficha los CISO para hacer de la ciberseguridad un aliado

"Se cree que la ciberseguridad y la protección de datos entran en conflicto. No es así, son medios para el mismo fin"

"La lista de 'hackeos' de alto perfil es deprimente, las empresas deben despertar"

"Tenemos que prepararnos tecnológica y matemáticamente para la computación cuántica"

El impacto de la inteligencia artificial generativa en ciberseguridad

Algunos desafíos legales en materia de ciberseguridad para 2024

La ciberseguridad es negocio

No te pierdas...

Acacio Martín (Fortinet): "Tener demasiadas soluciones de seguridad puede suponer un freno para la digitalización"

'Electrosmog': ¿son los límites a la radiación electromagnética demasiado laxos?

Veeam anuncia la adquisición de Coveware

10 aspectos de la seguridad física a tener en cuenta por los CISO

Más de la mitad de las empresas españolas carece de una estrategia de ciberseguridad para la IA

Accede a la cobertura de nuestros encuentros

Lee aquí nuestra revista digital de canal

Forma parte de nuestra comunidad

¿Interesado en nuestros foros?

Whitepaper

Infraestructura como servicio: cómo implementar el 'cloud' sin caer en una gestión compleja

15 ABR 2024

La volatilidad ha venido para quedarse y las compañías tienen que adaptarse a gran velocidad, con infraestructuras tecnológicas que sean capaces de responder al mismo ritmo. En este contexto, el viaje hacia los modelos como servicio es una tendencia imparable que, junto con sus múltiples beneficios, también presenta retos. Descubre en este documento las principales conclusiones del debate.

Tweets por @csospain