ニュース

「PHPMailer」の修正をバイパスできる脆弱性が見つかる、再修正した「5.2.20」は近くリリースの見込み

 PHPからのメール送信に利用されているライブラリ「PHPMailer」において、リモートでコードが実行される可能性のある脆弱性「CVE-2016-10033」が発見され、これを修正したバージョン「5.2.18」が24日にリリースされていたが、修正部分をバイパスできる脆弱性がポーランドのセキュリティ研究者Dawid Golunski氏により27日に報告されている。記事執筆時点では、この脆弱性を修正した更新プログラムは提供されていない。

 脆弱性「CVE-2016-10033」は、PHPMailerのメール送信機能を利用するウェブサイトのコメント欄や登録フォームなどから、攻撃者が任意のコードを実行できる可能性のあるものだった。

 新たに報告された脆弱性「CVE-2016-10045」は、CVE-2016-10033を修正したバージョン「5.2.18」における修正部分をバイパスし、リモートから任意のコードが実行される可能性のあるもの。「5.2.18」での修正は不完全であり、Dawid Golunski氏により実証コードも公開されている。

 PHPMailerは、PHPのプログラムからSMTPサーバー経由でメールを送信できるライブラリ。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!など、多くのオープンソースプロジェクトに使われており、およそ900万のユーザーに利用されている。

 なお、バージョン「5.2.18」に続いて、12月26日にリリースされた「5.2.19」でも、CVE-2016-10045の影響を受ける。Dawid Golunski氏によれば、現在、この脆弱性を修正した「5.2.20」の開発が進められており、近くリリースされる見込みとのことだ。