Критичная уязвимость в PHPMailer

В популярной библиотеке для отправки электронной почты PHPMailer обнаружена серьезная уязвимость, которая получила идентификатор CVE-2016-10033. Несмотря на то, что полные детали уязвимости еще не обнародованы, по информации из официального анонса можно сделать вывод о том, что злоумышленник имеет возможность выполнить произвольный код с правами пользователя, от которого выполняется PHP-код. Как правило, подобный тип уязвимостей позволяет, как минимум, получить доступ к исходному коду сайтов (а значит — к базам данных, к размещению произвольных файлов и, зачастую, к модификации существующих файлов). В ряде случаев, последующая эскалация привилегий может позволить злоумышленнику получить полный контроль над сервером.

Библиотека PHPMailer — достаточно популярный продукт, использующийся примерно в 9 миллионах вэбсайтов. WordPress, Drupal, 1CRM, SugarCRM, Yii, и Joomla поставляются с этой библиотекой. Если вы используете для своего сайта указанные выше системы управления контентом, незамедлительно обновите их и удостоверьтесь, что PHPMailer имеет версию 5.2.18 или выше.