Ist class.phpmailer.php anfällig oder nicht?

hgs

#2
Antwort lautet, Ja

Nachlesen kann man es in der Datei:
SECURITY.md im Verzeichnis: /include/phpmailer/phpmailer/

Hier ein kleiner Auszug der letzten beiden Meldungen:
QuotePHPMailer versions 6.1.5 and earlier contain an output escaping bug that occurs in `Content-Type` and `Content-Disposition` when filenames passed into `addAttachment` and other methods that accept attachment names contain double quote characters, in contravention of RFC822 3.4.1. No specific vulnerability has been found relating to this, but it could allow file attachments to bypass attachment filters that are based on matching filename extensions. Recorded as [CVE-2020-13625](https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-13625). Reported by Elar Lang of Clarified Security.

PHPMailer versions prior to 6.0.6 and 5.2.27 are vulnerable to an object injection attack by passing `phar://` paths into `addAttachment()` and other functions that may receive unfiltered local paths, possibly leading to RCE. Recorded as [CVE-2018-19296](https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-19296). See [this article](https://knasmueller.net/5-answers-about-php-phar-exploitation) for more info on this type of vulnerability. Mitigated by blocking the use of paths containing URL-protocol style prefixes such as `phar://`. Reported by Sehun Oh of cyberone.kr.

In der WebsiteBaker-Version 2.13 wird die phpmailer-Version 6.3.0 verwendet.
Die letzten Test sind bis jetzt alle ohne Befund, sodass wir kurz vor Veröffentlichung der neuen WebsiteBaker Version 2.13 stehen.

LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

CodeALot

Mir ist aufgefallen, dass sich in 2.13 das gesamte include/phpmailer geändert hat. Es gibt keine class.phpmailer.php mehr.

Viele Sites laufen allerdings noch mit 2.12, die class.phpmailer.php haben. Ich habe EINE Hostingfirma, die behauptet, dass diese PHP-Datei eine Code-Injection-Schwachstelle enthält.
Ich kann sie nicht sehen. Kann mir jemand sagen, ob es tatsächlich ein Problem mit class.phpmailer.php in WB 2.12 gibt?


I noticed that in 2.13 the whole include/phpmailer has changed. There is no class.phpmailer.php anymore.

Many sites still run 2.12 though, which has class.phpmailer.php. I have ONE hosting company that claims that this PHP-file contains a code-injection vulnerability.
I can't see it. Can anyone tell me if their is indeed a problem with class.phpmailer.php in WB 2.12?