2016年12月25日に、PHPMailerにおける脆弱性が確認されました。
PHPMailerはメール送信機能を付加するPHPライブラリで、WordPressやDrupal、Joomla!などのCMSや各種プラグインで利用されています。
今回確認された脆弱性では、PHPアプリケーション上で任意のプログラムが実行され、サイトの乗っ取りや悪意あるプログラムが設置される可能性がございます。
該当するプログラムをご利用中のお客様におかれましては、詳細をご確認いただきますようお願いいたします。
▼対策方法【WordPress】
2016年12月28日現在、脆弱性対応済みのバージョンはございません。
最新バージョンである4.7にアップデートする事により、今回の脆弱性に対応したバージョンがリリースされますと自動的にアップデートされますので、WordPressをご利用のお客様は4.7にアップデートをお願いいたします。
▼対策方法【その他プログラム】
ご利用のサーバープログラムが今回の脆弱性の対象となっていないか、プログラムの提供元にてご確認下さい。
▼詳細
本脆弱性についての影響範囲、対策方法についての詳細は、セキュリティ関連団体のWebサイトをご参照下さい。
JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/
Critical security update: PHPMailer 5.2.20 (CVE-2016-10045)
https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5220+CVE201610045/21855
なお、プログラムのアップデートする際は、必ずバックアップをお取りいただきますようお願いいたします。
ご利用中のお客様にはお手数をおかけしますが、何卒ご協力の程お願いいたします。