Миллионы сайтов уязвимы для хакеров из-за ошибки в популярном скрипте PHP

Проблема с безопасностью, обнаруженная в распространённой библиотеке PHPMailer, позволяет хакерам запускать код на веб-сайте, использующем уязвимую версию этого PHP-скрипта, который автоматизирует отсылку электронной почты, и получать контроль над сервером.

Эта библиотека на сегодняшний день включена в сотни миллионов веб-сайтов, а также в некоторые наиболее популярные движки управления контентом, в частности, в WordPress, Joomla, Drupal, SugarCRM, vTiger CRM, Mantis, XOOPS, Zikula.

Дефект защиты, который получил обозначение CVE-2016-10033, был исправлен 25 декабря с выходом версии PHPMailer 5.2.18. Тем не менее, проблема не теряет актуальности, поскольку пройдет некоторое время, пока обновление распространится в Интернете. Как показывает прошлый опыт, миллионы сайтов вообще не получат этого патча, что оставит большой сегмент Интернета открытым для атак.

Открывший эту уязвимость Давил Голунски (Dawid Golunski) (ранее уже обнаруживший критические дефекты в MySQL) из осторожности не сообщил в открытом доступе всех её подробностей. Это, однако, не помешало другим исследовать различия между прежней и пропатченной версиями PHPMailer и самостоятельно создать код эксплойта, который уже выложен онлайн на ресурсах GitHub и ExploitDB.

Такие проекты, как WordPress и Drupal в настоящее время готовят патчи безопасности для своих программ, с внедрённой библиотекой PHPMailer.