Sicherheitslücke PHPMailer

tin32 2021-05-26 10:24:20 UTC #1

Version: 21.1.20210521
Linux Version Linux: CloudLinux release 7.9 (Boris Yegorov)
PHP 7.4.14: litespeed

Mein Provider schicht mir ein Mail mit einer Sicherheitswarnung

Sicherheitslücke vom Typ “Code-Injection” in PHPMailer
*/egroupware vendor/phpmailer/phpmailer/src/PHPMailer.php

Auf die Nachrage, ob es evtl. ein false-positiv ist, kommt die Antwort:

Die Sicherheitslücke bezieht sich auf die PHP-Erweiterung «PHPMailer», welche wohl teil von Ihrer Applikation ist. Für diese PHP-Class wurden vor Kurzem Sicherheitslücken bekannt und PHPMailer wurde auch bereits aktualisiert. Ich vermute Ihre Applikation wird in Kürze ebenfalls ein Update zur Verfügung stellen und dabei PHPMailer aktualisieren.

Ist das Problem bekannt?

Gruss

RalfBecker 2021-05-26 10:47:51 UTC #2

Das “Problem” ist mit PHPMailer >= 6.1.8, wir - bzw. unsere SAML/Shibboleth Authentifizierung SimpleSAMLphp - setzt PHPMailer 6.1.6 ein, der nicht betroffen ist:

Von GitHub gab es daher in unsere Richtung auch keine entsprechende Warnung.

Ralf