Clicky

Un chercheur a découvert une faille sur PHPMailer

PHPMailer, un script PHP utilisé par les développeurs pour l’envoi automatique des e-mails, est frappé par une vulnérabilité critique. Mal utilisée, elle pourrait permettre aux pirates d’exécuter un code arbitraire à distance. Des millions de sites web seront donc menacés tant que cette erreur n’est pas corrigée.

C’est Dawid Golunski, un chercheur polonais spécialisé dans le domaine de la sécurité du web qui a fait cette découverte en analysant les dernières versions de la bibliothèque.

Faille PHPMailer

Une faille critique a été détectée dans PHPMailer.

Une situation problématique, d’autant que cette dernière est utilisée par de nombreux CMS et notamment par Joomla, Drupal, XOOPS, SugarCRM, Zikula ou même… WordPress. De nombreux sites sont donc concernés.

Une faille qui touche surtout les anciennes versions de PHPMailer

Dawid Golunski indique que cette lacune au niveau du PHPMailer ouvre la porte aux attaques qui pourraient « cibler des composants classiques d’un site web tels que les formulaires de contact ou d’inscription, la réinitialisation d’un mot de passe et d’autres qui envoient des e-mails à l’aide d’une version vulnérable de la classe PHPMailer ».

Cette vulnérabilité concerne surtout les sites utilisant des PHPMailer avec une version antérieure à la 5.2.18, publiée le 25 décembre 2016. Il conseille donc aux utilisateurs de mettre à jour la bibliothèque sans tarder.

Toutefois, en cette période de vacances et de fêtes, le processus de mis à jour de tous les sites pourrait prendre du temps. Par ailleurs, les utilisateurs de CMS ne pourront pas installer cette version par eux-mêmes et ils devront ainsi attendre le bon vouloir de l’éditeur de leur solution.

Des millions de sites sont concernés

Si Golunski a longuement évoqué les risques induits par cette vulnérabilité, il a aussi mentionné avoir mis au point un programme de test utilisant cette faille.

Toutefois, le chercheur a préféré ne pas trop s’étendre sur le sujet afin d’éviter que cette faille ne soit exploitée par des utilisateurs mal intentionnés. Il attendra donc qu’elle soit corrigée pour revenir en détail sur l’affaire et diffuser les vidéos tournées durant ses essais.

Malheureusement pour lui, et surtout pour nous, de nombreuses personnes ont procédé à une analyse comparative entre la dernière version de la librairie et les précédentes afin de trouver cette fameuse faille. La pêche a visiblement été fructueuse puisque de nombreux morceaux de code ont fait leur apparition sur les plateformes habituelles.

Mots-clés sécuritéweb

Andy

Passionné de NTIC, sportif et à ce que l'on dit, un bon vivant !