Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

「PHPMailer」の脆弱性、「WordPress」などでは悪用できず

PHPライブラリ「PHPMailer」に脆弱性が見つかった問題で、同ライブラリを利用する「WordPress」「Joomla!」「Drupal」いずれも、コア部分では脆弱性を悪用される懸念がないことがわかった。

問題の脆弱性は、ウェブサーバの権限で任意のコードを実行されるおそれがある「PHPMailer」の脆弱性「CVE-2016-10033」。修正版として「同5.2.18」が公開されたが、対策をバイパスされる脆弱性「CVE-2016-10045」があらたに判明。「同5.2.20」の準備が進められている。

「PHPMailer」は、「WordPress」「Drupal」「Joomla!」などのコンテンツマネジメントシステム(CMS)をはじめ、「1CRM」「SugarCRM」といった顧客管理システムで利用されており、これらプログラムへの影響について不安の声が上がっていた。

「WordPress」のコアに存在するファイルにも「PHPMailer」に由来するコードが含まれていることが判明しているが、同問題に対して「WordPress」のセキュリティチーム関係者は、コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。

ただし、「PHPMailer」を独自に導入しているケースや、プラグインが関数を誤って利用している場合は影響を受けるおそれがあるとしている。今後リリースする予定の「同4.7.1」では、今回の問題に対する緩和策についても追加する予定。

また「Joomla!」のセキュリティチームは、「同3.6.5」に脆弱性を含む「PHPMailer」が含まれており、過去のバージョンにも同ライブラリが存在するとセキュリティアドバイザリで明らかにした。

一方で「Joomla!」のAPIにて追加で入力値について検証を行っていることから、脆弱性が悪用される心配はないと説明。「PHPMailer」を独自に導入したり、同プログラムのAPIを利用しない拡張機能などを導入していなければ、対策などは不要だという。

開発チームは、次回の定例アップデートで提供する「同3.7」にて、脆弱性が修正された「PHPMailer」を実装するほか、脆弱性の悪用を防止する機能を搭載するとしている。

「Drupal」に関しても、「Core」部分に関しては影響を受けないと説明。「SMTPモジュール」に関しては「PHPMailer」より作成されたものだが、脆弱性の影響を受けないと説明している。

(Security NEXT - 2016/12/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Docker Desktop」に深刻な脆弱性 - コンテナからAPIアクセスのおそれ
「iPhone」「iPad」にアップデート - ゼロデイ脆弱性を修正
Apple、「Mac」の脆弱性を修正 - 標的型攻撃に悪用か
分散トランザクション管理ツール「Apache Seata」に脆弱性
「Kubernetes」マルチテナント管理ツール「Capsule」に深刻な脆弱性
Google、「Chrome 139」をリリース - AIが発見した脆弱性を修正
「Firefox 142」を公開 - 9件の脆弱性を解消
「VMware Tanzu for Valkey」の脆弱性を修正 - 「クリティカル」も
「PostgreSQL」にセキュリティアップデート - 「13系」は11月にEOL
米当局、「Trend Micro Apex One」に対する脆弱性攻撃に注意喚起

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.