公開日:2016/12/28 最終更新日:2017/01/20

JVNVU#99931177
PHPMailer に OS コマンドインジェクションの脆弱性
緊急

概要

PHPMailer には、OS コマンドインジェクションの脆弱性があります。

影響を受けるシステム

次のライブラリを使用しているウェブアプリケーションが本脆弱性の影響を受けます。

  • PHPMailer 5.2.20 より前のバージョン

詳細情報

PHPMailer は、PHP で作成されたウェブアプリケーションにメールの送信機能を追加するためのライブラリです。PHPMailer には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。

なお、本脆弱性を使用した攻撃コードが公開されています。

想定される影響

想定される影響はウェブアプリケーションの実装によりますが、ウェブアプリケーションの実行権限で任意の OS コマンドが実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、PHPMailer を最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/01/20 BizMobile株式会社 の告知ページ
アライドテレシス株式会社 該当製品無し 2017/01/06
ベンダ リンク
PHPMailer PHPMailer 5.2.20
About the CVE 2016 10033 and CVE 2016 10045 vulnerabilities
PHPMailer 5.2.18
Drupal PHPmailer 3rd party library -- DRUPAL-SA-PSA-2016-004
Wordpress WordPress Trac #37210 (Update PHPMailer to 5.2.19)
Joomla! [20161205] - PHPMailer Security Advisory

参考情報

  1. LEGAL HACKERS
    PHPMailer < 5.2.18 Remote Code Execution
  2. LEGAL HACKERS
    PHPMailer < 5.2.20 Remote Code Execution (0day Patch Bypass/exploit)
  3. Paul Buonopane of NamePros Raw
    Analysis of PHPMailer's RCE vulnerabilities CVE-2016-10033 and CVE-2016-10045

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
基本値: 5.4
CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:N
基本値: 5.5

分析結果のコメント

ウェブアプリケーションにログインした攻撃者が、細工した情報を入力する攻撃を想定しています。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-10033
CVE-2016-10045
JVN iPedia

更新履歴

2016/12/30
PHPMailer 5.2.20 の公開にあわせて更新しました。
2017/01/06
アライドテレシス株式会社のベンダステータスが更新されました
2017/01/20
BizMobile株式会社のベンダステータスが更新されました