关于phpmailer两个远程代码执行漏洞预警的预警提示-7411威尼斯

一、漏洞详情

phpmailer是一个用于发送电子邮件的php函数包,可以设定发送邮件地址、回复地址、邮件主题、html网页及上传附件。

1.cve-2021-34551:该漏洞是由于在处理$lang_path参数时对setlanguage()方法内用户提供数据的验证不足，远程攻击者可向应用传送一个特殊构造的输入，通过受影响的参数设置unc路径，从而在系统上执行任意php代码。

2. cve-2021-3603:该漏洞是由于输入验证不当，可允许未受信任的代码从地址验证器运行。远程攻击者可通过发送一个特殊构造的请求，从而在目标系统上执行任意代码。

攻击者可利用这些漏洞在目标系统上执行任意代码。建议受影响用户及时将phpmailer升级至6.5.0版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

phpmailer <= 6.4.1

三、修复建议

建议用户将phpmailer升级至6.5.0版本进行防护。

下载地址：https://github.com/phpmailer/phpmailer