Lücke in PHPMailer erlaubt ausführen von fremden Code

In der Mail-Bibliothek PHPMailer wurde eine schwerwiegende Sicherheitslücke entdeckt, mit der sich externer Code anführen lässt. Ein Patch ist zwar bereits veröffentlicht, aber noch nicht bei allen Webapplikationen übernommen worden.

Auch wenn der Name der Bibliothek eher unbekannt ist, sind es die Webapplikationen, die sie nutzen, sicherlich nicht. Denn dazu gehören unter anderem WordPress, 1CRM, Yii und Joomla. Dabei lässt sich die Bibliothek auch nicht einfach finden, da sie in den meisten Fällen nicht direkt, sondern oftmals durch Methoden der Webapplikationen aufgerufen werden. Bei WordPress ist das zum Beispiel wp_mail(). Deshalb kann die Bibliothek auch nicht einfach ausgetauscht werden.

Grund für die Sicherheitslücke ist übrigens, dass die Absenderadresse ungeprüft an Sendmail weitergereicht wird. Wer also nun anstelle einer E-Mail Adresse gültige sendmail Parameter übergibt, könnte damit fremden Code in das System einschleusen. Entsprechend ist auch der benötigte Patch nicht besonders umfangreich.

Dass die Sicherheitslücke ausgerechnet zu Weihnachten veröffentlich wurde, war übrigens nicht geplant. Der Sicherheitsexperte Dawid Golunski von Legal Hackers, der die Lücke entdeckte, hat sich dafür bereits entschuldigt. Dabei hat nicht er selbst, sondern einer der Firmen, die vorab informiert wurden, die Informationen veröffentlicht. Er selbst will noch eine Beschreibung inkl. Video online stellen, in denen er die Durchführbarkeit der Sicherheitslücke nachweist (Proof for Concept).