‘Lek in PHPMailer maakt miljoenen sites onveilig’

Contactformulieren voor e-mail en feedback op miljoenen websites zijn kwetsbaar. Door een fout in PHPMailer kunnen hackers de achterliggende webserver manipuleren. Cms-aanbieders als Drupal, Joomla en WordPress waarschuwen beheerders voor het lek. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback.

De kwetsbaarheid is aangekaart door beveiligingsonderzoeker Dawid Golunski. Hij meldt dat de PHPMailer-component een beveiligingslek bevat. PHP is een open source-taal die wordt gebruikt in websites. Volgens Golunski zijn alle versies van voor versie 5.2.18 kwetsbaar.

Websites gebruiken het script voor contactformulieren voor het invoeren van bijvoorbeeld een e-mailadres en feedback. De beveiligingsonderzoeker stelt dat ongeveer negen miljoen websites gebruikmaken van het script.

Volgens Golunski controleert PHPMailer niet of een e-mailadres dat in een webformulier wordt ingevoerd, klopt. Dat zou bijvoorbeeld hackers in staat stellen om via een omweg een code uit te voeren op de server van een site. De kwetsbaarheid is hier gedocumenteerd.

Update installeren

Volgens de ontwikkelaars van PHPMailer is het lek sinds de laatste update van het mailscript gedicht. Beheerders van websites moeten die update installeren om de beveiliging te herstellen. Golunski zegt dat hij op een later moment wil beschrijven hoe de aanval precies uitgevoerd kan worden. Hij wil websitebeheerders eerst de tijd geven het lek te dichten. Beveiligingsonderzoeker Kevin Beaumont stelt dat met de update van PHPMailer het probleem nog niet is verholpen. Volgens hem is het nog steeds mogelijk om de geupdate versie van PHPMailer te omzeilen.