PHPMailer, le script PHP qui automatise l’envoi de courriel, a été victime d’un bogue critique résidant dans la façon dont les sites web gèrent les formulaires de soumission de courrier électronique via PHPMailer. Il faut rappeler que ce dernier est très populaire : il est retrouvé dans de nombreux sites et CMS comme WordPress, Drupal, 1CRM, SugarCRM, Yii, ou encore Joomla. D’ailleurs, sur son site, le script revendique plus de 9 millions d’utilisateurs dans le monde avec des téléchargements journaliers conséquents.Dawid Golunski, le chercheur polonais en sécurité qui l’a découverte, assure qu’un pirate serait en mesure d’exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer. Pour exploiter cette vulnérabilité, un attaquant pourrait cibler des composants classiques d'un site web tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des emails à l'aide d'une version vulnérable de la classe PHPMailer ».
La vulnérabilité a été référencée sous le code CVE-2016-10033 et vise les versions antérieures à la 5.2.18. Cette dernière corrige la faille et a été publiée samedi 24 décembre. Dawid Golunski a développé un prototype fonctionnel permettant d'utiliser cette faille comme PoC. Il n’a volontairement pas donné beaucoup de détails afin de laisser à chacun le temps de se mettre à jour.
Néanmoins, Golunski a expliqué que la validation Sendmail est faite en utilisant la spécification RFC 3696 qui, dans certaines circonstances, permet aux pirates d'ajouter des guillemets et des caractères dans une adresse e-mail. Lorsqu'ils ne sont pas vérifiés, ces guillemets et ces caractères peuvent être interprétés comme des arguments de ligne de commande qui créent la vulnérabilité d'exécution de code à distance dans PHPMailer.
Golunski va apporter une description plus complète des vecteurs d'attaque et des exploits à une date ultérieure, le temps pour le correctif d’être installé sur le maximum de sites web et plateformes impactés.
WordPress et Drupal ont tous deux émis des avertissements concernant PHPMailer. « Les modules PHPMailer et SMTP (et peut-être d'autres) ajoutent un support pour envoyer des e-mails à l'aide de la bibliothèque tierce PHPMailer. En général, le projet Drupal ne crée pas d'avis pour les bibliothèques tierces. Les responsables du site Drupal doivent prêter attention aux notifications fournies par ces bibliothèques tierces telles que décrites dans PSA-2011-002 - Bibliothèques externes et plugins. Toutefois, compte tenu de l'extrême criticité de ce problème et du timing de sa diffusion, nous publions une PSA (Public Service Announcement) pour alerter les responsables potentiels affectés », a indiqué Drupal.
Source : David Golunski, Drupal, WordPress
