【注意喚起】PHPからのメール送信ライブラリ「PHPMailer」脆弱性への対応について

お知らせ

更新日：2016年12月28日

PHPからのメール送信で利用されているライブラリ「PHPMailer」に脆弱性が報告されております。この脆弱性について、更新プログラムの適用を推奨いたします。

なお、CMSに同梱されているPHPMailerを意図せずインストールしている可能性がありますので、インストール状況、バージョンを確認の上、適時、対応ください。

○脆弱性「CVE-2016-10033」

PHPMailerのメール送信機能を利用するウェブサイトのコメント欄や登録フォームなどから、攻撃者が任意のコードを実行できる可能性のあるもので、影響を受けるバージョンはPHPMailerのバージョン「5.2.17」以前です。

○PHPMailer

PHPのプログラムからSMTPサーバー経由でメールを送信できるライブラリ。

WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!など、多くのオープンソースプロジェクトに使われております。

12月24日にリリースされているバージョン「5.2.18」では、脆弱性の修正に加え、SMTP送信の成功についてのメッセージからSMTPトランザクションIDを抽出する機能も追加されています。

また、12月26日には、わずかな修正のみが加えられた「5.2.19」も続けてリリースされております。

以上