9VSA20-00266-01 CSIRT comparte vulnerabilidad y mitigación para PHP Mailer
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de PHPMailer respecto a vulnerabilidad que afecta a su servidor de correo. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-13625
Es posible engañar a filtros de correo modificando el nombre del archivo adjunto, en donde la utilizar el nombre ’filename.html";.jpg', el formato del archivo sería HTML en vez de JPG (la última parte sería ignorada), por lo que si ciertos filtros no permitían un tipo de archivo, se podía utilizar este método para enviar un tipo válido y evadir las medidas de seguridad.
Productos Afectados
PHPMailer versión 6.1.5 y anteriores.
Mitigaciones
Actualizar a la versión 6.1.6 de PHPMailer.
Enlaces
https://github.com/PHPMailer/PHPMailer/security/advisories/GHSA-f7hx-fqxw-rvvj
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13625
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00266-01