Avis du CERT-FR

Objet: Vulnérabilité dans PHPMailer

Gestion du document

Référence	CERTA-2007-AVI-274
Titre	Vulnérabilité dans PHPMailer
Date de la première version	20 juin 2007
Date de la dernière version	20 juin 2007
Source(s)	Bulletin de sécurité Debian 1315 du 19 juin 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Les applications utilisant la bibliothèque PHPMailer 1.7 configurée pour utiliser sendmail.

Résumé

Une vulnérabilité dans la bibliothèque PHPMailer permet l'exécution de code arbitraire à distance.

Description

La librairie PHPMailer permet d'envoyer des courriers électroniques depuis une application PHP. Lorsqu'elle est configurée pour utiliser la commande sendmail, une vulnérabilité au niveau de la validation des champs saisis permet l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1315 du 20 juin 2007 :
```
http://www.debian.org/security/2007/dsa-1315
```

Référence CVE-2007-3215 :

https://www.cve.org/CVERecord?id=cve-2007-3215

Gestion détaillée du document

le 20 juin 2007: version initiale.