Context Navigation

← Previous Ticket
Next Ticket →

Modify ↓

#1398 closed Bug/Fehler (fixed)

XSS-Lücke in PHPMailer 5.2.23

Reported by:	webald <elertsm@…>	Owned by:	somebody
Priority:	hoch	Milestone:	modified-shop-2.0.4.0
Component:	Sicherheit	Version:	2.0.3.0
Keywords:		Cc:
Blocked By:		Blocking:

Description

https://nvd.nist.gov/vuln/detail/CVE-2017-11503
bzw.
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

Attachments (2)

changeset_11059.zip (46.5 KB ) - added by Torsten Riemer 8 years ago.
Bildschirmfoto 2018-02-06 um 14.15.09.png (94.0 KB ) - added by FräuleinGarn 8 years ago.: kein Captcha

Download all attachments as: .zip

Change History (12)

comment:1 by h-h-h, 8 years ago

Und, kannst du mir sagen wie modified davon betroffen ist?

comment:2 by Torsten Riemer, 8 years ago

Summary:	XSS-Lücke in phpmailer → XSS-Lücke in PHPMailer 5.2.23

comment:3 by Torsten Riemer, 8 years ago

Resolution:	→ fixed
Status:	new → closed

In 11059:

fix #1398 - update PHPMailer to 5.2.25

comment:4 by FräuleinGarn, 8 years ago

Danke fürs schließen des Tickets. Aber auch hier wird die Updateversion wieder vom Support der nicht mehr sicheren Php Version 5.4 bestimmt. Ich wäre dafür den Support für Php 5.4 einzustellen. Dann hätte man hier auch auf Version 6 updaten können. Bei der nächsten gefundenen Lücke in php-Mailer muss das wieder gefixt werden. So ist das doppelte Arbeit.

Gibts eine Möglichkeit das schon selbst vorher einzupflegen, bevor 2.0.4.0 oder anders lautendes Update kommt?

comment:5 by Torsten Riemer, 8 years ago

Nachfolgend die Dateien der Korrektur aus r11059.

by Torsten Riemer, 8 years ago

Attachment:	changeset_11059.zip added

comment:6 by FräuleinGarn, 8 years ago

Super Danke dir.

Übrigens wird eine zu kurze ANtwort hier als Spam gewertet und man wird gebeten Daten eines Captcha einzugeben, dass aber gar nicht vorhanden ist.

by FräuleinGarn, 8 years ago

Attachment:	Bildschirmfoto 2018-02-06 um 14.15.09.png added

kein Captcha

comment:7 by FräuleinGarn, 8 years ago

Es gibt noch eine Version 5.2.26, die wohl auch noch kompatible zu PHP 5.4 ist und eine weitere XSS Angriffsmöglichkeit schließt.

Sind nur marginale Änderungen. Vielleicht kann man das noch einpflegen.

comment:8 by Torsten Riemer, 8 years ago

In 11070:

fix #1398 - update PHPMailer to 5.2.26

comment:9 by Torsten Riemer, 8 years ago

In 11071:

fix #1398 - update PHPMailer to 5.2.26

comment:10 by Gerhard Waldemair, 8 years ago

In 11103:

fix #1398 - update PHPMailer to 6.0.3

Modify Ticket

Action

leave as closed The owner will remain somebody.

reopen The resolution will be deleted. Next status will be 'reopened'.

Add Comment

Your email or username:

E-mail address and name can be saved in the Preferences .

You may use WikiFormatting here.

Attachments ↑ Description ↑

Note: See TracTickets for help on using tickets.

Download in other formats: