Informationen zu einer kritischen Lücke in PHPMailer (CVE-2016-10033) hat David Golinski von der Gruppe Legal Hackers jetzt veröffentlicht. Es handelt sich um eine Remote-Code-Execution-Lücke.

Ein Fehler in der sehr weit verbreiteten PHP-Bibliothek führt dazu, dass die über ein Webformular eingetragenen Absenderdaten ohne Prüfung an den Mailer Sendmail weitergereicht werden. Mit entsprechenden Eingaben lässt sich in Versionen vor 5.2.18 über diesen Bug Shellcode in den Aufruf injizieren, der dann mit den Rechten des Webserver-Users ausgeführt wird.

Viele Content Management Systeme (CMS) wie Joomla, Drupal und WordPress nutzen den PHPMailer für ihre Anmelde-, Feedback-, Kontakt- oder Passwortformulare.

Dass Informationen über diese Lücke an den Weihnachtsfeiertagen veröffentlicht wurden, war offenbar nicht geplant. In einer E-Mail an die Mailingliste oss-security entschuldigte sich Golunski dafür und schrieb, dass einer der Hersteller, die vorab informiert wurden, aus Versehen umfangreiche Informationen über diese Lücke preisgegeben hatte.