PHPMailerの脆弱性(CVE-2020-36326) まとめ

■脆弱性番号

CVE-2020-36326

■報告日

2021/04/29

■概要

• PHPMailerはフィルタリングされていない"phar://"のPathをaddAttachment関数および他の関数に渡します。これによりオブジェクト注入攻撃に対して脆弱性を持ち、RCEにつながる可能性があります。
• 今回の脆弱性(CVE-2020-36326)は、以前の脆弱性(CVE-2018-19296)の再発です。
• CVE-2018-19296の修正バージョンとして、PHPMailer 6.0.6 および 5.2.27 が公開されたが、6.1.8 の公開の際に脆弱性が再発しました。

PHPMailer - Security Advisories - CVE-2020-36326
https://github.com/PHPMailer/PHPMailer/security/advisories/GHSA-m298-fh5c-jc66 PHPMailer - Security Advisories - CVE-2018-19296
https://github.com/advisories/GHSA-7w4p-72j7-v7c2

■影響バージョン

PHPMailer 6.1.8 から 6.4.0 までのバージョン

■回避策

PHPMailer 6.4.1 へのアップデート

■注意点

• PoCは既に公開されており、悪用のリスクが高い
• WordPressはPHPMailerを内包しているため、利用している場合は対応が必要
• 2021/05/13 に脆弱性修正バージョンのWordPressが公開されている wordpress.org
• Ubuntuでは脆弱性ページが公開されていたが、ほかのディストリビューションは不明 ubuntu.com

■その他参考サイト

www.security-next.com