CISA警告PHPMailer命令注入漏洞已在攻击中被利用

关键要点：

1. PHPMailer中的CVE-2016-10033漏洞允许攻击者通过mail()函数中的命令注入执行任意代码。

2. 该漏洞已在实时网络攻击中被利用，存在系统被入侵和数据泄露的风险。

3. 根据CISA在7月7日发布的警告，组织必须在2025年7月28日前修复此漏洞。

4. 请升级到PHPMailer v5.2.18及以上版本，或立即停止使用受影响的版本。

CISA发布紧急警告，指出PHPMailer中存在一个严重的命令注入漏洞，该漏洞正被网络攻击者积极利用。

该漏洞被追踪为CVE-2016-10033，对全球依赖该流行PHP电子邮件库的Web应用程序构成重大风险。

CISA已将此漏洞添加至其已知被利用漏洞（KEV）目录，并要求各组织在2025年7月28日前实施修复措施。

PHPMailer命令注入漏洞

PHPMailer命令注入漏洞源于该库核心功能中的输入验证不足。

具体而言，该漏洞影响class.phpmailer.php脚本中的mail()函数，用户提供的输入在处理之前未经过适当的验证。

这一安全弱点允许攻击者注入恶意命令，在应用程序的上下文中执行，从而可能导致系统完全被攻破。

该漏洞被归类为CWE-77（命令中使用的特殊元素未正确中和）和CWE-88（命令中参数分隔符未正确中和），突出显示了根本的输入验证失败，正是这些失败使得攻击得以发生。

当攻击未能成功时，可能导致拒绝服务（DoS）状态，干扰正常的应用程序操作。

该漏洞的技术性质使其特别危险，因为PHPMailer被广泛集成到内容管理系统、Web应用程序和企业软件解决方案中。

网络犯罪分子正在利用这一漏洞在易受攻击的系统上执行任意代码，尽管目前攻击活动的具体细节仍在调查中。

命令注入发生在恶意输入绕过库的安全控制后，允许攻击者在主机服务器上运行未经授权的命令。

尽管CISA尚未确认此漏洞是否被用于勒索软件攻击，但鉴于PHPMailer的广泛部署，潜在的此类利用仍然是一个重要关注点。

该漏洞的利用可能导致数据泄露、未经授权访问敏感信息和完全接管服务器。

使用受影响版本的组织面临直接风险，特别是那些具有面向互联网的应用程序并通过电子邮件功能处理用户输入的组织。

缓解策略

CISA强烈建议组织立即应用厂商提供的缓解措施和安全补丁。

对于云服务部署，管理员应遵循BOD 22-01指南，以确保全面的保护。

对于无法立即实施可用缓解措施的组织，建议在部署适当的安全措施之前，考虑停止使用受影响的PHPMailer版本。

该漏洞影响PHPMailer v5.2.18之前的版本，组织应立即升级到最新的安全版本。

安全团队应在修补计划中优先处理此漏洞，并对所有使用PHPMailer功能的应用程序进行彻底评估，确保在整个基础设施中彻底修复。