Ejecución remota de código en PHPMailer

Fecha de publicación: 
30/12/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones anteriores a 5.2.20 de PHPMailer, y productos opensource que lo integren como librería.

El core de los gestores de contenido Drupal y Joomla no se encuentran afectados.

Descripción: 

Se han hecho públicas varias vulnerabilidades en el software en PHP de envío de correo PHPMailer integrado en muchos productos opensource basados en PHP. Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario en el sistema afectado.

Solución: 

Actualizar a la versión 5.2.21 de PHPMailer.

Detalle: 

Las vulnerabilidades encontradas permiten la ejecución de código arbitrario en el sistema a través de una incorrecta validación de parámetros en la función de envío de correo de PHPMailer, pudiendo de esta manera ejecutar código en el sistema afectado. Un atacante podría aprovecharse de esta vulnerabilidad en formularios de registro, contacto o de recuperación de contraseñas, que realizan un envío de email utilizando PHPMailer.

Se han reservado los identificadores CVE-2016-10045 y CVE-2016-10033 para estas vulnerabilidades.