Todas las versiones de PHPMailer anteriores a la 5.2.18, que se acaba de publicar, están afectadas

Una vulnerabilidad crítica en PHPMailer afecta a millones de webs de empresa

vulnerabilidad-critica-phpmailer-afecta-millones-webs-empresa

©The Hackers News

Actualizado 09 | 01 | 2017 12:09

PHPMailer

El especialista en ciberseguridad polaco Dawid Golunski de Legal Hackers ha descubierto una vulnerabilidad crítica en PHPMailer que permite a un atacante la ejecución de código remoto en el servidor de la víctima.

PHPMailer es una de las librerías de código abierto para el envío de correos electrónicos más populares del mundo con más de nueve millones de usuarios. Además, otras aplicaciones como WordPress, Drupal, 1CRM, SugarCRM, Yii, o Joomla la incluyen en sus paquetes estándar, por lo que también se pueden ver afectados.

Para aprovecharse de este problema de seguridad, un atacante solo tiene que valerse de algún componente básico de la web como los formularios de contacto/comentario, formularios de registro, reseteado de contraseñas, o cualquier otro que envíe correos electrónicos para poder comprometer el servidor.

Todas las versiones de PHPMailer anteriores a la 5.2.18, que se acaba de publicar, están afectadas, por lo que se recomienda a los gestores de páginas web que actualicen sus sistemas lo antes posible.

Por el momento, Golunski ha decidido no ofrecer detalles técnicos dado que, ese tipo de información podría ser utilizada para atacar webs que todavía no se actualizarán. En cuanto pase un tiempo prudencial, publicará todos los detalles relevantes, así como un vídeo a modo de prueba de concepto.

Consejos para gestores de páginas web

Nuestros consejos para mantener páginas web a salvo son:

  • Mantener actualizado todo el software que utilices incluido el propio servidor.
  • Usar la autenticación de doble factor siempre que sea posible.
  • Realizar una política correcta de usuarios, restringiendo al máximo los privilegios y eliminando las cuentas obsoletas.
  • Emplear contraseñas robustas y no reutilizarlas en otras webs.

No creas que tu web no es lo suficientemente importante para que le interese a alguien. La ciberseguridad es labor de todos. Principalmente de los que gestionan recursos informáticos ya que su labor afecta a más usuarios. Por lo tanto, no esperes más y actualiza PHPMailer ya.