Squirrelmail 1.4.22出现远程代码执行漏洞

流行的PHP网络邮件数据包SquirrelMail受一个远程代码执行漏洞CVE-2017-7692影响，攻击者可在目标设备上执行任意代码并完全控制它。

最新版本SquirrelMail 1.4.22以及之前版本都可能遭受该漏洞影响。这个问题是安全研究员Dawid Golunski发现的，并在今年1月份告知项目维护人员。Golunski此前曾在邮件库PHPMailer和SwiftMailer中发现其它远程代码执行缺陷。目前尚不清楚问题是否以及何时解决。

这个漏洞是因为数据包将Sendmail作为主传输配置而导致对用户所提供数据逃避不充足而造成的。经验证的攻击者可能能够利用这个漏洞在目标设备执行任意命令并攻陷远程系统。

Sendmail是一个流行的邮件传输代理，它在邮件环境中是默认配置的。配置为使用Sendmail的SquirrelMail并没有考虑能被黑客注入额外参数的一个字符。

安全公告包含向恶意Sendmail配置文件注入具体参数的PoC利用代码，这个配置文件随后可作为附件上传触发这个RCE缺陷。PoC利用代码中包含文件写入和远程代码执行的有效负载。

Golunski是在安全公司Segment的CEO披露了同样漏洞后决定公开PoC利用代码的。前者也分享了如下的非官方补丁：

Golunski建议SquirrelMail用户可使用非Sendmail传输如SMTP。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。