Как исправить уязвимость в Wordpress class-phpmailer.php — RCE: CVE-2016-10045, CVE-2016-10031?

Question

[Роман]

Добрый день, подскажите как исправить уязвимости CVE-2016-10045, CVE-2016-10031
Информации по этому поводу не нашёл, обнаружены они были не так давно.

Сам скрипт находится в wordpress тут:
/wp-includes/class-phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

версия phpmailer 5.2.22
Побывал версию v6.0.0rc4 (результат тот же) от сюда - https://github.com/PHPMailer/PHPMailer/tree/v6.0.0rc4

Answer 1

[Игорь Воротнёв]

Данные уязвимости касаются версий PHPMailer ниже 5.2.18 и 5.2.20, последняя версия WP использует 5.2.22, в которой устранены не только эти уязвимости, но и еще одна, обнаруженная в версии 5.2.21. Смотрите чейнджлог.

Что делать? Как обычно - обновить WordPress и спать спокойно.

Comments

[Дмитрий Крымцев]

Отчет сканера AI-Bolit

Уязвимости в скриптах (2)
/var/www/user309735/data/www/mentalcosmetics.ru/wp-includes/PHPMailer/PHPMailer.php - RCE : CVE-2016-10045, CVE-2016-10031
/var/www/user309735/data/www/mentalcosmetics.ru/wp-includes/class-phpmailer.php - RCE : CVE-2016-10045, CVE-2016-10031

Версии найденных CMS
WordPress v5.5.1

[Дмитрий Крымцев]

Версия обновленная, а рассылки продолжают прилетать.

[Глеб]

Дмитрий Крымцев, рассылки и уязвимость исполнения произвольного кода немного разные вещи. В первом случае это просто спамеры, что спамят через какую-нибудь софтину/скрит, а во втором случае кто-то может через инъекции получить доступ к вашим файлам, собственно тут и два решения, чтобы избавиться рассылки, это капча, какие-то плагины для предотвращения спама и второе решение это обновление пхпмэйлера до актуальной версии. Но первое не обезопасит от второго, как и второе от первого))