Vorsicht: Sicherheitslücke in PHPMailer gefährdet unzählige Websites

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Die Open-Source PHP-Bibliothek PHPMailer bringt durch eine Sicherheitslücke zahlreiche Webseiten in Gefahr. Die durch Dawid Golunski von Legal Hackers aufgedeckte Schwachstelle kann Remotecode-Ausführungen zulassen. Golunski hat angekündigt, ein Proof of Concept zu veröffentlichen. Die gute Nachricht vorab: Nach dem aktuellen Wissenstand betrifft die Schwachstelle nur die älteren Versionen von PHPMailer. Die aktuelle Version 5.2.18 ist nicht betroffen. PHPMailer bittet daher alle Entwickler, ihre Projekte schnellstmöglich zu überprüfen und wenn noch nicht geschehen auf den neusten Stand zu bringen, um die Endnutzer nicht weiter zu gefährden. Dennoch könnte sich die Sicherheitslücke zu einem Gau für viele Blog- und Webseitenbetreiber entwickelt, denn PHPMailer wird von zahlreichen Plugins und Themes verwendet, um beispielsweise mit den beliebten Content-Management-Systemen Wordpress oder Joomla E-Mails zu versenden.


Wenn die entsprechenden Erweiterungen nicht auf dem neusten Stand sind, könnte es zu Problemen kommen - und es gibt doch die eine oder andere Anwendung, die PHPMailer nutzt, weit verbreitet ist, und noch nicht aktualisiert wurde, warnt Dawid Golunski.

Deaktivieren

PHPMailer wird für zahlreiche weitere Projekte verwendet, wie Drupal, 1CRM oder SugarCRM. Kontakt- und Registrierungsformulare nutzen die Bibliothek häufig, sodass viele Webseitenbetreiber sich vielleicht gar nicht bewusst sind, betroffen zu sein - und sie können zur Sicherheit nicht mehr tun als zum Beispiel die betroffenen Plugins zu deaktivieren.

Proof of Concept angekündigt

Laut dem Entdecker der Schwachstelle erlaubt der Fehler in der PHP-Lib eine Remote-Code-Execution, die er schon bald öffentlich präsentieren will. Es fehlt in den vorangegangenen Versionen der Bibliothek die Validierung der Absenderadresse. PHPMailer umgeht das Problem mit der aktuellsten Version. Unbefugte Dritte könnten daher die Schwachstelle bei älteren Versionen über betroffene Formulare recht einfach ausnutzen und für ihre Zwecke verwenden.

Mehr dazu: Sicherheitslücken: Flash dominiert weiter, Microsoft holt aber auf Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 09:25 Uhr 20000mAh Wireless PowerBank,Externer Akku Handy Qi-Ladegerät Schnellaufladung Extrem hohe Kapazitat mit Dual Input/Output 2USB Ladeport für iPhone XS Max/XR/XS/X/8/8Plus,iPad,Samsung Galaxy S9/S820000mAh Wireless PowerBank,Externer Akku Handy Qi-Ladegerät Schnellaufladung Extrem hohe Kapazitat mit Dual Input/Output 2USB Ladeport für iPhone XS Max/XR/XS/X/8/8Plus,iPad,Samsung Galaxy S9/S8
Original Amazon-Preis
25,99
Im Preisvergleich ab
38,99
Blitzangebot-Preis
14,39
Ersparnis zu Amazon 45% oder 11,60
Im WinFuture Preisvergleich

Video-Empfehlungen

Tipp einsenden