Il y a quelques semaines, le chercheur en sécurité Dawid Golunski a détecté une grave vulnérabilité dans l’une des bibliothèques les plus utilisées par les développeurs PHP.

Il s’agit de la librairie PHP Mailer, qui permet d’émettre des mails à partir d’une application, d’un site de CMS par exemple, tel que Joomla, WordPress ou Drupal.

Selon Golunski qui a publié un patch, la faille est liée à un contrôle déficient de l’adresse courriel de l’émetteur, celui de l’application qui apparaît dans l’en-tête d’un formulaire et qui peut être remplacé par des commandes Shell à exécuter sur le serveur hôte.

En fait la faille n’est pas très claire, ni évidente à comprendre, car en principe cette adresse n’est pas accessible, puisqu’elle est automatiquement renseignée par l’application.

Quoi qu’il en soit, la faille existe et pour éviter que les serveurs sur lesquels s’exécute une application qui exploite PHP Mailer, se mettent à faire n’importe quoi, il conviendrait de les mettre à niveau et de passer les patchs disponibles.

Il ne faut pas non plus paniquer, car il existe diverses manières d’utiliser PHP Mailer. Soit directement, soit en passant par une classe de mailing, qui elle-même va accéder à PHP Mailer. Autrement dit, on n’est pas obligé d’exploiter les composants de PHP Mailer sans contrôles.

C’est ce que n’ont pas manqué de préciser les éditeurs de CMS, tels que WordPress, qui a indiqué que sa fonction wp_mal() n’utilisait pas les éléments contestables de PHP Mailer, de même pour Drupal qui s’est dit ne pas être concerné.

Quoi qu’il en soit, si vous utilisez une copie de PHP Mailer, n’hésitez-pas à l’upgrader vers la version la plus récente de la librairie. Vous serez tranquille.

Si ce n’est pas possible, un petit travail d’introspection sera nécessaire dans votre code, qu’il conviendra de « nettoyer » pour vous éviter des surprises désagréables.

D’après Dawid Golunski, plusieurs millions de serveurs Web sont concerné. Alors autant vous rassurer le plus vite possible.