?近日，Polish的研究人員Dawid Golunski發(fā)現(xiàn)，流行PHP函數(shù)包PHPMailer曝出高危漏洞。據(jù)悉，攻擊者可通過該漏洞在使用未經(jīng)修復(fù)PHPMailer的站點(diǎn)上遠(yuǎn)程執(zhí)行代碼。

漏洞編號：CVE-2016-10045

受影響版本：V5.2.20之前的版本的PHPMailer皆受影響。

注：雖然官方稱在圣誕節(jié)發(fā)布的PHPMailer V 5.2.18版本中已更新第一個(gè)補(bǔ)丁，但有網(wǎng)友發(fā)現(xiàn)并沒有完全修復(fù)該漏洞，甚至在最新發(fā)布的V5.2.19版本中仍存在相關(guān)問題。

據(jù)悉，PHPMailer在全球范圍內(nèi)約有900萬用戶，是最受歡迎的發(fā)送電郵類PHP函數(shù)包。被廣泛使用于WordPress、Drupal、1CRM、SugarCRM、Joomla等平臺。因而影響范圍十分廣泛，數(shù)以百萬計(jì)的站點(diǎn)可能受到該漏洞的影響，且大部分站點(diǎn)可能存在無法及時(shí)修復(fù)的情況。

另外，Wordpress官方也在公告中稱，PHPMailer的這個(gè)漏洞也已對在線WP插件管理工具是WP Core造成了影響。

有用戶在Github上發(fā)布了易受攻擊的代碼，地址：https://github.com/opsxcq/exploit-CVE-2016-10033

目前，官方仍未針對此漏洞給出有效可行的解決方案。

(編輯：小酷)