Este CVE representa un grave problema para PHPMailer. Por lo tanto, mitigar cualquier riesgo o riesgo no descubierto para extensiones de terceros usando PHPMailer directamente, recomendamos actualizar y revisar todas sus aplicaciones de uso activo y pasivo de largo plazo para garantizar que tengan alojada la última versión de la biblioteca PHPMailer 5.2.21 o superior, de lo contrario estará dejando un hueco donde posibles entes maliciosas puedan dañar sus archivos, servicio y portal web en general.

Se ha descubierto una vulnerabilidad crítica en PHPMailer, una de las bibliotecas Open Source de PHP más utilizadas para enviar correos por formularos, y que es utilizada por millones de páginas en todo el mundo.

PHP es la tecnología a nivel de servidor más en la web. Muchos CMS populares como WordPress, Drupal, Joomla, y muchos otros incluyen PHPMailer para enviar correos electrónicos utilizando varios métodos, entre los que se encuentra el SMTP.

La vulnerabilidad fue descubierta por el investigador en seguridad polaco Dawid Golunski, de Legal Hackers, y se le ha asignado el código CVE-2016-10033. Según cuenta el investigador, un atacante podría ejecutar código arbitrario de forma remota en el contexto del servidor web y comprometer componentes de la aplicación web objetivo como los formularios de contacto y retroalimentación, formularios de registro, restablecimientos de contraseñas y otros mecanismos que terminen emitiendo correos electrónicos.

PHPMailer han parcheado la vulnerabilidad nada más ser descubierta en la versión 5.2.18. Todas las versiones anteriores contienen la vulnerabilidad, por lo que se recomienda encarecidamente llevar a cabo el proceso de actualización de esta biblioteca de PHP.

No esperes más. Revisa y actualiza todas tus librerías. Evita ser el próximo blanco de un atacante.