Managed hosting door True

'Lek in PHPMailer maakt miljoenen sites onveilig'

 

Hack

Contactformulieren voor e-mail en feedback op miljoenen websites zijn kwetsbaar. Door een fout in PHPMailer kunnen hackers de achterliggende webserver manipuleren. Cms-aanbieders als Drupal, Joomla en Wordpress waarschuwen beheerders voor het lek. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback.

De kwetsbaarheid is aangekaart door beveiligingsonderzoeker Dawid Golunski. Hij meldt dat de PHPMailer-component een beveiligingslek bevat. PHP is een open source-taal die wordt gebruikt in websites. Volgens Golunski zijn alle versies van voor versie 5.2.18 kwetsbaar.

Websites gebruiken het script voor contactformulieren voor het invoeren van bijvoorbeeld een e-mailadres en feedback. De beveiligingsonderzoeker stelt dat ongeveer negen miljoen websites gebruikmaken van het script.

Volgens Golunski controleert PHPMailer niet of een e-mailadres dat in een webformulier wordt ingevoerd, klopt. Dat zou bijvoorbeeld hackers in staat stellen om via een omweg een code uit te voeren op de server van een site. De kwetsbaarheid is hier gedocumenteerd.

Update installeren

Volgens de ontwikkelaars van PHPMailer is het lek sinds de laatste update van het mailscript gedicht. Beheerders van websites moeten die update installeren om de beveiliging te herstellen. Golunski zegt dat hij op een later moment wil beschrijven hoe de aanval precies uitgevoerd kan worden. Hij wil websitebeheerders eerst de tijd geven het lek te dichten. Beveiligingsonderzoeker Kevin Beaumont stelt dat met de update van PHPMailer het probleem nog niet is verholpen. Volgens hem is het nog steeds mogelijk om de geupdate versie van PHPMailer te omzeilen. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5911629). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Er staat: *** Door een fout in het gebruikte html-script ***
HTML is een taal en PHP is ook een taal, een HTML script en PHP zijn verschillende dingen.

Is aangepast.

Bij https://Bolt.cm is het lek meteen gepatcht, voor zover nodig. Default maakt Bolt echter gebruik van veiligere verzending middels een smtp account, en de meeste developers gebruiken die optie. Dat zouden meer systemen moeten ondersteunen.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×