In den letzten Tagen des Jahres 2016 erreichte uns die Meldung, dass eine wichtige PHP-Bibliothek, PHPMailer, offensichtlich Sicherheitslücken aufweist. Aufgrund derer kann man unter Umständen externen Code zur Anwendung bringen. PHPMailer wird in vielen Open-Source-Webanwendungen verwendet, um Mail aus der Anwendung heraus zu verschicken, zum Beispiel für die Passwort-Wiederherstellungsfunktion, für Alerts und andere Mitteilungen. Zu den Applikationen, die PHPMailer benutzen gehören Joomla, Drupal und WordPress. Inzwischen gibt es erste Reaktionen.
Joomla weist in einem Beitrag in seinem Security-Center darauf hin, dass zwar bis Version 3.6.5 die besagte PHPMailer-Komponente verwendet worden sein, allerdings fänden im Joomla-Kontext an diversen Stellen Validierungen von Eingaben statt, die ein Ausnutzen der Sicherheitslücke in der Bibliothek „unpraktikabel“ erscheinen ließen.
Drupal weist darauf hin, dass der Kern der Applikation nicht betroffen sei, zu Produkten Dritter möge man keine Sicherheitsratschläge geben und PHPMailer sollte auf die aktuellste Version gebracht werden. Für Drupal gäbe es ein SMTP-Modul, das die PHP-Funktion mail() umgeht. Dies sei aber nicht betroffen.
Es gibt laut golem.de einen Exploit (auf Github ist ein entsprechender Docker-Container bereitgestellt), der mit mit einer alten PHP-Version funktioniert (PHP 5.2).