Уязвимость всей линейки DLE - PHPMailer

Раздел: DataLife Engine » Полезные статьи для DLE
Уязвимость всей линейки DLE - PHPMailer
Найдена уязвимость всей линейки DLE - PHPMailer (осуществляет отправку писем с вложением и массовой рассылки с вложением). Потенциальная уязвимость всей линейки DLE использует PHPMailer 5.2.16 версии (в файле upload\engine\classes\mail\class.phpmailer.php 39 строка). Это хоть и новая версия PHPMailer, но она имеет критическую уязвимости, более подробном читаем далее.

О трех отчёта связанных с уязвимости упоминается в фреймворке Yii наряду и с другими PHP фреймворками как уязвимый код, цель статьи — прояснить, какие сайты подвержен данной уязвимости и что вам необходимо сделать, чтобы обезопасить себя.

Касаемо PHPMailer - Yii официально не предоставлял никаких компонентов, связанных с PHPMailer'ом. К тому же Yii никогда не включал PHPMailer в какой-либо код, который официально выпускался командой Yii.

Упоминание Yii скорее всего в отчётах является копи-пастой из README PHPMailer'a, где говорится, что он может быть применен вместе с фреймворком Yii. Для PHPMailer уже создан патч, достаточно обновиться до версии как минимум 5.2.20.

Однако SwiftMailer отличается, для него мы предоставляем расширение yii2-swiftmailer. SwiftMailer также выпустил патч, нужно обновиться до версии как минимум 5.4.5.

Скачать PHPMailer патч вы можете по следующей ссылке
Внимание! У вас нет прав для просмотра скрытого текста.
, однако настоятельно рекомендую обновиться до версии 5.2.21
<a href="http://www.dle9.com/">www.dle9.com</a>


Совместимость с DataLife Engine 112 версии не проверялась! Беглый осмотр обновленной версии PHPMailer показал, что функции и код сильно не претерпели значимых изменений, вероятней всего всё должно работать хорошо.

Стоит помнить, что class.phpmailer.php в DataLife Engine состоит из 2 файлов: class.phpmailer.php и class.smtp.php, идущими друг за другом.

Кто соберёт файл и протестирует на DLE удачно - не лишним будет выложить в топик.

P.s. во избежание воплей "Да DLE экранирует всё, не критична дыры и баги". Использование библиотеки в которой есть дыра, даже если ты этот кусок не используешь - зло!
p.s. удивляет, что разработчики DLE решили не выпускать промежуточный фикс данной уязвимости.


Найдена уязвимость всей линейки DLE - PHPMailer (осуществляет отправку писем с вложением и массовой рассылки с вложением). вы найдете всё лучшее у нас форумы, хаки, модули, шаблоны.
  • 60
Рубрика: Все для DLE » Полезные статьи
Ранее » Регистрация доменов .RU« Далее Недостаточная фильтрация данных DLE 11.2 и ниже
Добавление комментарияОставить комментарий