Une vulnérabilité critique a été découverte dans PHPMailer, qui est l’une des librairies open source les plus populaires qui est utilisée par plus de 9 millions de sites web.
Des millions de sites web en PHP ainsi que des CMS open source comme Joomla ou WordPress utilisent la librairie PHPMailer pour envoyer des courriels à ses utilisateurs en passant par une variété de méthodes y compris l’envois par SMTP.
Il s’agit d’une faille critique qui peut compromettre tous les sites web qui utilisent un systéme d’envois de courriels.
Découverte par Dawid Golunski, un chercheur en sécurité Polonais du Legal Hackers, la vulnérabilité critique (CVE-2016-10033 et CVE-2016-10045) permet aux hackers d’exécuter à distance du code source dans l’environnement d’hébergement et de compromettre l’application.
“Pour exploiter la vulnérabilité, un attaquant pourrait cibler des composants communs tels que des formulaires de contact / rétroaction, des formulaires d’inscription, des réinitialisations de mot de passe et d’autres qui envoient des courriers électroniques à l’aide d’une version vulnérable de la classe PHPMailer », écrit Golunski dans l’avis publié ce 26 décembre 2016.
Golunski a déclaré la vulnérabilité aux développeurs de la librairie de façon responsable, qui ont corrigé la vulnérabilité dans leur nouvelle version, PHPMailer 5.2.18, avant qu’il ne communique l’information au public. (Mise à jour du 29/12/2016 à 13h45, un nouveau correctif est disponible: PHPMailer 5.2.20)
Toutes les versions de PHPMailer avant la version critique 5.2.20 sont concernées, il est donc fortement recommandé aux administrateurs web et aux développeurs de mettre à jour la version corrigée.
Nous sommes un des premiers sites francophones à divulguer cette information de la vulnérabilité suite à l’avis de Golunski et des millions de sites web restent non patchés, le chercheur a mis en attente les détails techniques sur la faille afin de permettre aux administrateurs de rectifier cette faille. Toutefois, Golunski a promis dans son communiqué de diffuser plus de détails techniques sur la vulnérabilité dans les prochains jours, y compris un code d’exploit de preuve de concept et une démonstration vidéo qui montrera l’attaque en action. (Mise à jour du 28/12/2016: Le temps de vous retranscrire cet article, l’exploit a déjà été communiqué et il est déjà disponible !)
A l’heure où nous vous écrivons cet article nous estimons qu’une grande partie des sites utilisant cette librairie sont encore vulnérables, nous estimons que 80% sont encore vulnérables, et des robots ne vont pas tarder à apparaitre pour scanner le web à la recherche de cette faille pour l’exploiter.
Nous vous recommandons donc vivement de faire au plus vite pour patcher la librairie PHPMailer de votre site web afin de vous éviter des mésaventures. Si vous utilisez un CMS, surveillez chaque jour les mises à jour de votre CMS et n’hésitez à mettre à jour votre système avec les dernières versions.
N’hésitez pas à nous contacter si vous avez besoin d’aide.
ExcellentBasée sur 22 avispierre lenfantAurone est un agence web comme on n'en fait plus ! Très réactive, d'une grande souplesse dans le travail et toujours à la pointe de la technologie, vous pouvez compter sur de vrais pros pour tous vos projets web !Sami Yassine TurkiJ'ai eu un plaisir à travailler, en tant que secrétaire général de l'association Lina Ben Mhenni, avec l'agence AURONE qui a assuré avec beaucoup de professionnalisme le développement de notre site web.Gwladys LavergneRéactifs, attentifs, et très compétents nous sommes ravies de travailler avec Aurone qui sait parfaitement répondre à nos attentes que ce soit en terme de design graphique ou bien dans leurs compétences techniques ! Je recommande vivement leur accompagnement !Perrine AmalAurone est une entreprise humaine, réactive et efficace. Travaux réalisés rapidement et avec célérité. Je recommande vivement et espère poursuivre cette collaboration à l'avenir.Stephanie WillmanNous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement.Raphaël GianassoPour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordialeSamuel DechometsJ'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merciKarim DjebbarL'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
27 Avenue Taieb Mhiri
Immeuble Yasmina, bureau 17
2080 Ariana, Tunis, Tunisie
+216 22 774 450
Centre d'affaires TODA 2
Rue du Rhin Napoléon
67100 Strasbourg, France
+33 9 80 80 10 18
Rue du Port Franc, 2A
1003 Lausanne
Suisse
Avenue Mutsaard, 41
1020 Bruxelles
Belgique
+32 2 588 07 54