PHPからのメール送信ライブラリ「PHPMailer」に脆弱性、米SANS ISCが注意喚起

　PHPからのメール送信に利用されているライブラリ「PHPMailer」におけるリモートでコードが実行される可能性のある脆弱性について、米SANS Technology InstituteのInternet Storm Center（ISC）が注意を喚起し、更新プログラムの適用を推奨している。

　脆弱性「CVE-2016-10033」は、PHPMailerのメール送信機能を利用するウェブサイトのコメント欄や登録フォームなどから、攻撃者が任意のコードを実行できる可能性のあるもの。影響を受けるバージョンはPHPMailerのバージョン「5.2.17」以前。

　PHPMailerは、PHPのプログラムからSMTPサーバー経由でメールを送信できるライブラリ。WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!など、多くのオープンソースプロジェクトに使われており、およそ900万のユーザーに利用されているという。

　12月24日にリリースされたバージョン「5.2.18」では、脆弱性の修正に加え、SMTP送信の成功についてのメッセージからSMTPトランザクションIDを抽出する機能も追加されている。また、12月26日には、わずかな修正のみが加えられた「5.2.19」も続けてリリースされている。