安全公告编号:CNTA-2016-0067

近日，国家信息安全漏洞共享平台（CNVD）收录了PHPMailer存在的远程代码执行漏洞（CNVD-2016-13107，对应CVE-2016-10033）。综合利用上述漏洞，远程攻击者可实现在web服务器账户环境中执行任意代码，有可能诱发以控制为目的大规模攻击。

一、漏洞情况分析

PHPMailer是一个用于发送电子邮件的PHP函数包。PHPMailer被披露存在远程代码执行漏洞，远程攻击者利用该漏洞可在web服务器账户环境中执行任意代码，导致web应用陷入威胁中。攻击者可通过意见反馈表单、注册表单、邮件密码重置表单等常见的web表单，使用邮件发送组件时利用该漏洞。CNVD对上述漏洞的综合评级为“中危”。目前，漏洞发现者尚未披露详细漏洞细节，相关利用方式已经在互联网上公开，近期出现攻击尝试爆发的可能。

二、漏洞影响范围

上述漏洞影响PHPMailer <5.2.18版本。PHPMailer广泛应用于WordPress、Drupal、1CRM、Joomla!等项目中，采用PHPMailer的第三方软件平台也可能受该漏洞影响。

三、漏洞修复建议

目前，厂商已发布了漏洞修复方案，CNVD建议用户升级到最新版本，避免引发漏洞相关的网络安全事件。

附：参考链接：

http://www.securityfocus.com/bid/95108/info

http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

https://github.com/PHPMailer/PHPMailer（补丁链接）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-13107