یک آسیب پذیری اجرای کد از راه دور مهم در PHPMailer، یکی از کتابخانه بسیار محبوب در ارسال ایمیل با استفاده از PHP، ممکن است میلیون ها وبسایت را در معرض هک شدن قرار داده باشد.
این نقص توسط محقق امنیت Dawid Golunski پیدا شده است و اصلاح اولیه در PHPMailer 5.2.18 که جدیدا منتشر شده است قرار دارد. اگرچه، این اصلاح کامل نبوده و می توان آن را دور زد.
کتابخانه PHPMailer بطور مستقیم و یا غیر مستقیم در بسیاری از سیستم های مدیریت محتوا ( CMS ) مانند WordPress، Joomla و Drupal مورد استفاده قرار می گیرد. این کتابخانه در کد اصلی آن ها قرار ندارد و معمولا به صورت یک ماژول جداگانه و یا به همراه add-on ها مورد استفاده قرار می گیرد.
به همین دلیل اثر این آسیب پذیری از سایتی به سایت دیگر می تواند متفاوت باشد. برای مثال، تیم امنیتی Joomla مشخص کردند که Joomla JMail class که بر پایه PHPMailer می باشد، دارای اعتبار سنجی های جداگانه ای می باشد که این آسیب پذیری را خنثی می نماید.
این نقص به دلیل اعتبار سنجی ناقص در خصوص مشخصات فرستنده ایمیل می باشد که به هکر ها این اجازه را می دهد تا دستورات Shell که می توانند درون برنامه ارسال ایمیل قرار گرفته و در سرور میل اجرا شوند را درون ایمیل تزریق نمایند.
اگرچه، این سوء استفاده زمانی موفقیت آمیز خواهد بود که یک فرم وب در سایت وجود داشته باشد که از PHPMailer برای ارسال ایمیل استفاده نماید و امکان وجود آدرس فرستنده ایمیل دلخواه را بدهد- آدرسی که در سرتیتر فرم ایمیل قرار می گیرد. مشخص نیست که این مورد چه مقدار مورد استفاده قرار می گیرد، زیرا فرم های تحت وب معمولا فرستنده ایمیل را از قبل تعریف می نمایند و کاربران فقط می توانند آدرس ایمیل را به عنوان گیرنده وارد نمایند.
تیم امنیتی Joomla می گوید: ” تمامی موارد در هسته اصلی Joomla API که ایمیل ارسال می نمایند از تنظیمات موجود در پیکربندی اصلی استفاده می نمایند و به کاربران اجازه نمی دهند که این موارد را تعیین نمایند. اگرچه، افزونه هایی که از نسخه جداگانه ای از PHPMailer استفاده می نمایند و یا از Joomla API استفاده نمی کنند در برابر این نقص آسیب پذیر هستند.
توسعه دهندگان WordPress نیز به همین نتیجه رسیده اند، تابع internet wp_mail() که در هسته اصلی WordPress برای ارسال ایمیل استفاده می شود تحت تاثیر این نقص قرار نگرفته است زیرا از این ویژگی PHPMailer استفاده نمی نماید. از لحاظ نظری پلاگین های ثالث نیز که از wp_mailer() استفاده می نمایند نباید این نقص را داشته باشند اما تاثیر این مورد برای آنها هنوز تحت بررسی می باشد.
Dion Hulse مدیر تیم توسعه دهنده WordPress گفت: ” انتشار نسخه جدید 4.7.1 این مشکل را برطرف می نماید. ما متعهد هستیم که فقط از کتابخانه های امن در WordPress استفاده نماییم– صرف نظر از آن که از این ویژگی های استفاده کنیم یا خیر.”
تیم امنیتی Drupal نیز یک موضوع امنیتی با حساسیت بالا برای آن قرار داده، اگرچه کد اصلی Drupal با این نقص دچار مشکل نشده است.
تیم Drupal می گوید: ” با توجه به حساسیت شدید این موضوع و زمان انتشار آن ما با صدور اطلاعیه خدمات عمومی به سایت های استفاده کننده از Drupal هشدار داده ایم.”
بدلیل دور زدن اصلاح اولیه، این آسیب پذیری در وضعیت zero-day قرار دارد— به طور عمومی شناخته شده و اصلاح نشده می باشد. علاوه بر این، بدلیل متفاوت بودن از سایتی به سایت دیگر، و نحوه استفاده از PHPMailer، بدون بررسی کامل، حل این مشکل برای مدیران سایت ها بسیار مشکل خواهد یود.
اگر آنها از PHPMailer به صورت مستقیم استفاده می نمایند آنها باید بعد از ارائه اصلاحیه هر چه زودتر به نسخه جدیدتر بروزرسانی انجام دهند. و تمامی موارد سایت از قبیل تماس، ثبت نام و قسمت های دیگر که از ارسال ایمیل استفاده می نمایند را برررسی نموده و بررسی نمایند که آیا می توان آدرس ارسال کننده ایمل را تغییر داد یا خیر.
اگر از سیستم های مدیریت محتوا استفاده می نمایند باید سایت پشتیبانی آن ها را مشاهده کرده و بررسی نمایند که تنظیمات پیش فرض تحت تاثیر این نقص قرار گرفته است یا خیر. سپس تمامی پلاگین ها و ماژول های مورد استفاده در سایت را بررسی نموده که آیا از PHPMailer استفاده می نمایند.