Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

メール送信ライブラリ「Swift Mailer」に脆弱性 - 修正パッチは未公開

PHP環境向けのメール送信ライブラリ「Swift Mailer」に深刻な脆弱性が含まれていることがわかった。フレームワークなどでも採用されており、影響が懸念される。

20161229_sm_001.jpg
Dawid Golunski氏が公開したアドバイザリ(一部)

先に「PHPMailer」の脆弱性を公表したセキュリティ研究者のDawid Golunski氏が、別のメール送信ライブラリである「Swift Mailer」の脆弱性「CVE-2016-10074」について報告したもの。

最新版である「同5.4.5-DEV」および以前のバージョンが影響を受ける。12月28日の時点で脆弱性を修正したアップデートなどは提供されていない。

同ライブラリは、「Yii2」「Laravel」「Symfony」などのPHPフレームワークなどでも採用されている。

今回判明した脆弱性「CVE-2016-10074」は、「PHPMailer」で明らかとなった「CVE-2016-10033」と同様の脆弱性。ウェブアプリケーションのフォームから同ライブラリを利用する場合に影響があり、悪用された場合、リモートよりコードを実行されるおそれがあるという。

(Security NEXT - 2016/12/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

Intelのリモート管理機能に複数の脆弱性 - リモートからコード実行のおそれ
NTT東の一部「光ポータブル」にDNSキャッシュ汚染のおそれ - サポート終了で修正実施せず
シマンテックの管理製品に脆弱性 - リモートより攻撃受けるおそれ
「Windows 8」以降で本来の脆弱性保護が発揮できないケースが判明 - 「EMET」などが裏目に
「VMware NSX for vSphere」にXSSの脆弱性 - 情報漏洩のおそれ
「VMware Workstation」「Fusion」に深刻な脆弱性 - 更新がリリース
「Oracle Tuxedo」に深刻な脆弱性 - 更新を強く推奨
シャープのロボット掃除機「COCOROBO」に脆弱性 - 不正操作のおそれ
Symantecのエンドポイント製品「SEP」に脆弱性
Cisco UCMなどのアップグレード機能に深刻な脆弱性