Ernstige kwetsbaarheid ontdekt in PHPMailer

  1. 27 dec 2016
  2. 0 reacties

PHPMailer blijkt een ernstige kwetsbaarheid te bevatten die aanvallers de mogelijkheid geeft op afstand eigen code uit te voeren op systemen. PHPMailer wordt onder andere in WordPress, Drupal, 1CRM, SugarCRM, Yii en Joomla gebruikt.

PHPMailer is een populaire PHP library voor het versturen van e-mail. Wereldwijd wordt de library naar schatting door ruim 9 miljoen gebruikers gebruikt. Een groot aantal populaire websites maakt gebruik van PHPMailer om e-mails te kunnen versturen. De tool wordt onder andere in gebruikt om geautomatiseerde e-mails te versturen na het invoeren van contact-, feedback- of registratieformulieren en het aanvragen van een nieuw wachtwoord.

De kwetsbaarheid is ontdekt door Dawid Golunski van Legal Hackers en is geïdentificeerd als CVE-2016-10033. Golunski heeft de kwetsbaarheid bij de ontwikkelaars van PHPMailer gemeld, die het beveilingslek in PHPMailer 5.2.18 hebben verholpen. Alle eerdere versies van PHPMailer zijn kwetsbaar.

Meer over
Lees ook

Shellshock-bug misbruikt om NAS-systemen aan te vallen

Hackers misbruiken de Shellshock-bug, ook bekend als de Bash-bug, inmiddels op grote schaal. Vooral NAS-systemen zijn populaire doelwitten om aan te vallen. Veel van deze apparaten draaien op Linux en zijn hierdoor kwetsbaar voor de bug in Bash. Beveiligingsonderzoekers van FireEye waarschuwt voor de grote hoeveelheid cyberaanvallen op NAS-systemen waarbij misbruik wordt gemaakt van de Shellshock-bug. De aanvallers geven zichzelf beheerdersrechten op de systemen, waarna zij de volledige controle over het apparaten kunnen overnemen. Onder andere NAS-systemen van fabrikant QNAP zouden een popul1

Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code u1

Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken

Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken

Microsoft dicht in een update een kwetsbaarheid in de Malware Protection Engine die het voor aanvallers mogelijk maakte virusscanners uit te schakelen. Deze engine is onderdeel van de beveiligingsoplossingen Security Essentials en Windows Defender. Het probleem is opgespoord door een onderzoeker van Google, die bij Microsoft aan de bel trok. Aanva1