CSIRT Panamá Aviso 2020-07-14 PHP: Vulnerabilidad y mitigación para PHP Mailer.
Gravedad: Media
Vulnerabilidad: CVE-2020-13625
Fecha de publicación: Julio 14, 2020
Última revisión: Julio 14, 2020
Portal: https://www.php.net
Sistemas Afectados: PHPMailer versión 6.1.5 y anteriores.
I. Descripción
Vulnerabilidad que afecta a su servidor de correo, mediante afectación al PHPMailer.
II. Impacto
Vulnerabilidad: CVE-2020-13625
Es posible engañar a filtros de correo modificando el nombre del archivo adjunto, en donde la utilizar el nombre ’filename.html»;.jpg’, el formato del archivo sería HTML en vez de JPG (la última parte sería ignorada), por lo que si ciertos filtros no permitían un tipo de archivo, se podía utilizar este método para enviar un tipo válido y evadir las medidas de seguridad.
III. Referencia a soluciones, herramientas e información
Se recomienda actualizar a la versión 6.1.6 de PHPMailer (https://github.com/PHPMailer/PHPMailer/releases/tag/v6.1.6).
Fuentes:
Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13625
GitHub. 2020-05-26 Insufficient output escaping of attachment names. 27 de mayo del 2020. Recopilado en: https://github.com/PHPMailer/PHPMailer/security/advisories/GHSA-f7hx-fqxw-rvvj
CSIRT Chile. 9 de julio del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00266-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124