- Door
- Jeroen Mulder
- geplaatst op
- 4 januari 2017 08:00 uur
De bug zelf werd al voor de kerst openbaar gemaakt: via contactformulieren die met PHPmailer werken, is het mogelijk om websites over te nemen. PHPmailer wordt als plugin in vrijwel alle grote contentmanagementsystemen gebruikt, waaronder WordPress, Drupal en Joomla. Volgens Dawid Golunski van Legal Hackers zijn alle versies voor PHPmailer 5.2.18 kwetsbaar. Een slordige schatting levert op dat ruim 9 miljoen websites vrij eenvoudig via een command shell in het contactformulier gehackt kunnen worden.
Direct na de kerstdagen werd een patch gepubliceerd die het lek moest dichten. Volgens Golunski is die patch echter eenvoudig te omzeilen en is het lek nog steeds te gebruiken via Remote Code Execution. “Er is geen patch beschikbaar op dit moment. Alle PHPmailer versies zijn kwetsbaar. Terug bij af”, schrijft hij op Threatpost.
De reacties van de CMS-leveranciers zelf zijn tamelijk opvallend. Die reacties zijn van het type ‘we waarschuwen, maar het is niet ons probleem’. Drupal meldt dat letterlijk: “Drupal geeft in het algemeen geen adviezen met betrekking tot het gebruik van software van derde partijen”. PHPmailer is geen onderdeel van het CMS zelf. Toch publiceren Drupal en WordPress wel waarschuwingen omdat het hier om een ‘extreem kritisch lek’ gaat. Joomla heeft niet officieel gereageerd, al schrijft The Register wel dat het volgens ontwikkelaars niet mogelijk is om de core API van het CMS op deze manier te benaderen.