PHPMailer

Die Schwachstelle steckt in PHPMailer, einer weit verbreiteten Programmbibliothek zum Versenden von E-Mails aus PHP-Anwendungen heraus. Der Fehler liegt in der Versandfunktion für den Mailversand über die isMail-Methode, die auf das systemeigene mail-Kommando zurückgreift. Die Bibliothek prüft vom Nutzer stammende Eingaben nicht ausreichend: Über eine manipulierte Absenderangabe – konkret durch das Einschleusen einer Backslash-Anführungszeichen-Folge – lassen sich dem mail-Kommando zusätzliche Parameter unterschieben. Auf diesem Weg kann ein entfernter Angreifer eigene Befehle einschleusen und beliebigen Code im Kontext der betroffenen Anwendung ausführen. Scheitert ein Ausnutzungsversuch, kann die Anwendung stattdessen in einen nicht mehr reagierenden Zustand geraten. Betroffen sind alle Webanwendungen, die PHPMailer für den E-Mail-Versand einsetzen und Absenderangaben aus nicht vertrauenswürdiger Quelle übernehmen – etwa aus Kontakt- oder Registrierungsformularen.