Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Les applications utilisant la bibliothèque PHPMailer 1.7 configurée pour utiliser sendmail.
Résumé
Une vulnérabilité dans la bibliothèque PHPMailer permet l'exécution de code arbitraire à distance.
Description
La librairie PHPMailer permet d'envoyer des courriers électroniques depuis une application PHP. Lorsqu'elle est configurée pour utiliser la commande sendmail, une vulnérabilité au niveau de la validation des champs saisis permet l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 1315 du 20 juin 2007 : http://www.debian.org/security/2007/dsa-1315
- Référence CVE CVE-2007-3215 https://www.cve.org/CVERecord?id=CVE-2007-3215