Expertos en seguridad han detectado una vulnerabilidad catalogada como crítica en esta librería de PHP, una de las más utilizadas con más de 9 millones de usuarios en todo el mundo. Los afectados por el fallo de seguridad de PHPMailer no solo son usuarios, sino que también se pueden contar por varios los CMS que son vulnerables a exploits que permiten ejecutar código de forma remota.
WordPress, Drupal, 1CRM, SugarCRM, Yii o Joomla son algunos ejemplos de gestores de contenidos que utilizan esta librería para permitir el envío de correos. Identificada como CVE-2016-10033, David Golunski, expertos en seguridad encargado de descubrir la vulnerabilidad, ha explicado que unos atacantes, con la ayuda de un exploit, sería capaz de ejecutar código de forma remota. De esta forma, mucha información almacenada en el servidor web podría verse comprometida.
El experto enseguridad ha detallado que cualquier formulario (aunque no sea de correo electrónico) serviría para llevar a cabo el ataque de forma satisfactoria. Formularios de recuperación de contraseña, encuestas o de contacto es lo que podemos encontrar hoy en día en muchas páginas web.
PHPMailer 5.2.18 ya está disponible
Antes de sacar a la luz la información relacionada, se notificó el problema a los desarrolladores de la librería. Pronto publicaron una nueva versión que ponía fin a este problema. Todas aquellas que sean anteriores a la 5.2.18 están afectadas por el problema y desde el equipo de desarrollo indican que es una actualización crítica si no se quiere que la seguridad del sitio web se vea comprometida.
Muchos sitios web no actualizarán a la nueva versión
Partiendo de que son miles las páginas web que están afectadas por este problema, nos podemos hacer a la idea de cuál es la magnitud del problema. Como en otras ocasiones, el mayor problema está ahora mismo en que la tasa de actualización será muy baja y que muchas páginas web no recibirán la nueva versión. A veces una web no carga pero Internet funciona bien.
La actualización ya está disponible y Golunsk ha confirmado que en los próximos días publicará más información sobre la vulnerabilidad, así como una prueba de cómo se puede explotar. También pretende que esto sirva como medida de presión para que el número de sitios web protegidos se incremente.