网络安全

热点新闻

网络安全
当前位置: 首页 >> 网络安全 >> 正文
关于PHPMailer两个远程代码执行漏洞预警的预警提示
    发布日期:2021-06-25

一、漏洞详情

PHPMailer是一个用于发送电子邮件的PHP函数包,可以设定发送邮件地址、回复地址、邮件主题、html网页及上传附件。

1.CVE-2021-34551:该漏洞是由于在处理$lang_path参数时对setLanguage()方法内用户提供数据的验证不足,远程攻击者可向应用传送一个特殊构造的输入,通过受影响的参数设置UNC路径,从而在系统上执行任意PHP代码。

2. CVE-2021-3603:该漏洞是由于输入验证不当,可允许未受信任的代码从地址验证器运行。远程攻击者可通过发送一个特殊构造的请求,从而在目标系统上执行任意代码。

攻击者可利用这些漏洞在目标系统上执行任意代码。建议受影响用户及时将PHPMailer升级至6.5.0版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

PHPMailer <= 6.4.1

三、修复建议

建议用户将PHPMailer升级至6.5.0版本进行防护。

下载地址:https://github.com/PHPMailer/PHPMailer

技术支持:信息化建设与管理中心

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85916979(16979),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn