Мне кажется вам понравится

[WMix]

https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

 

[Breeze]

Угу. Привет всем любителям пихать всякое говно в From и ставить вебсерверу права на запись в докрут и не отнимать права на исполнение кода там, где это не нужно.

 

[fixxxer]

Еще, кстати, надо придумать, как эксплуатировать такое. С -X получится только с настоящим сендмейлом, которого уже нигде и не найти.

Exim:

       -X <logfile>
                 This option is interpreted by Sendmail to cause debug information to be sent to the named file.  It is ignored by Exim.

Postfix:

       -X log_file (ignored)
              Log mailer traffic. Use the debug_peer_list and debug_peer_level configuration parameters instead.

 

[WMix]

Всегда говорил нет таких ящиков "д'артаньян из госконии"@mail.ru

 

[fixxxer]

В SwiftMailer-е, кстати, похожую уязвимость исправили пару лет назад.

 

[Вурдалак]

В SwiftMailer-е, кстати, похожую уязвимость исправили пару лет назад.

А коллегам, значит, не сообщили. Хитрецы.

 

[AnrDaemon]

А что там в документации написано на счёт того, что escapeshellcmd() применяется к пятому параметру автоматически?

 

[Breeze]

А что там в документации написано на счёт того, что escapeshellcmd() применяется к пятому параметру автоматически?

escapeshellcmd() prevents command execution, but allows to add additional parameters. For security reasons, it is recommended for the user to sanitize this parameter to avoid adding unwanted parameters to the shell command.

Вроде всё понятно написано

 

[AnrDaemon]

А… понял. Спасибо.

 

[fixxxer]

В SwiftMailer-е, кстати, похожую уязвимость исправили пару лет назад.

Хехе. Похожую, да не такую. Та была в sendmail-транспорте. А эта - вот:

https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec-CVE-2016-10074-Vuln.html

 

[WMix]

Мне кажется самое время сказать: "С наступающем вас!". В начале след года ожидается наплыв новых worldpress и других пользователей.

 

[fixxxer]

В phpmailer-е с первой попытки тоже не пофиксили. Там весело:

The documentation for mail() mentions that escapeshellcmd() is applied internally to the command generated by mail(), and that 'dangerous' characters should be escaped. Unfortunately this clashes with what escapeshellarg() does, and the nested combination of escapeshellcmd(escapeshellarg($address)) can result in a crafted address breaking out of the escaping, resulting in an executable command again.

https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities

В SwiftMailer-е та же история:

https://github.com/swiftmailer/swiftmailer/commit/baf0aea2e99796e77df7abf173ecdc702019b5be

 

[Breeze]

Проще было бы ввести strict/security level, где по умолчанию запрещать пробелы и комбинацию " -" напрочь в емейле, предназначенном для From, несмотря на RFC.
Ну и бросать соответствующий варнинг или исключение.

 

[fixxxer]

Проще было бы поправить реализацию mail() в похапе.