Vlákno názorů k článku PHPMailer má kritickou chybu, ohrožuje miliony webů od John Deere - Netyka se to nahodou jen pseudoprogramatoru kteri nevaliduji...

28. 12. 2016 14:03

John Deere (neregistrovaný)

Netyka se to nahodou jen pseudoprogramatoru kteri nevaliduji vstup do funkce mail?

Pokud validuji e-mail, tak mi ten pasvil do fukce mail nijak nevleze, no ne?

Ale treba jsem neco nepochopil.

J.D.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 12. 2016 14:37

Vít Šesták

Záleží na kontraktu API – jestli je vyžadována validní emailová adresa, nebo jestli to API slibuje zvalidovat.

Dále si nejsem jist všemi edge cases – jestli existuje validní vstup, kterým by šlo provést útok. Nevím, kterým shellem je to interpretováno (hádám /bin/sh), ani do detailu které přesně znaky jsou povolené v e-mailové adrese.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 12. 2016 15:36

Vladimír Smitka

Objevitel zranitelnosti právě upozorňuje, že v případě použití validace podle RFC tam jde parametry dostat, protože RFC umožňuje používat mezery v uvozovkách - viz PoC https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

Osobně tedy mezery v mailu ve validaci zakazuji, ale před pár lety jsem zakazoval i +, které se nyní používá stále více...

Dále u nás najdete