2. 你可以在github上找到解决PHPMailer中这个问题的代码变动,它们十分清楚地描述了问题在于被发送到shell命令中的发送方电子邮件地址未转义。
3. 概念漏洞的基本证明也已发布到exploit-db,其链接到在github上的此漏洞利用的更详细的演示。研究人员已经建立了一个包含此漏洞的Web应用程序,然后为自己的应用程序创建了一段利用代码。这显然不是一个真实世界的PoC,但它展示了PHPMailer的弱点,并为真实世界的PoC铺平了道路。
4. 发现这个漏洞的研究员的报告中显示:
“研究人员还为流行的开源应用程序(部署在在互联网上的一百多万台服务器上)开发了一个未经认证的RCE漏洞作为现实世界开发的PoC。它可能在供应商修复漏洞后再发布。
5. 这个问题昨天发布到Hackaday和今天早些时候的The Hacker News。
6. 它正在Twitter上广泛讨论。[需要科学上网]
7. 它正在WP Slack #forums和#core上被讨论。 [需要登录]
8. Hacker News上也在讨论。
9. 它被发布到Reddit / r / netsec上,那里也在讨论。
10. 我们期望它将在人们进入工作日之后成为主流媒体的焦点。
分页阅读: 1 2
发表评论