Vulnérabilité de PHPMailer

Une vulnérabilité critique a été découverte dans PHPMailer, qui est l’une des librairies open source les plus populaires qui est utilisée par plus de 9 millions de sites web.

En ce qui concerne Joomla :

Toutes les versions de la bibliothèque tierce PHPMailer distribuée avec les versions de Joomla! jusqu'à 3.6.5 sont vulnérables à une exécution de code à distance. Installations de Joomla affectées : toutes les versions de 1.5.0 à 3.6.5 C'est corrigé avec PHPMailer 5.2.20 qui sera inclus avec Joomla! 3.7

Après analyse, le Joomla Security Center a déterminé qu'avec l'utilisation correcte de la classe JMail, il existe des validations supplémentaires en place qui rendent l'exécution de cette vulnérabilité irréalisable dans l'environnement Joomla.

Toutefois, les extensions qui incluent une version séparée de PHPMailer ou qui n'utilisent pas l'API Joomla pour envoyer des messages électroniques peuvent être vulnérables à ce problème.

Que faire ?

Pour les utilisateurs de Joomla :
- Mettre à jour vers la version 3.6.5 si ce n'est déjà fait et passer à la 3.7 dès qu'une version stable sera disponible.
- Aucune autre action n'est requise, la bibliothèque mise à jour sera incluse dans la prochaine version prévue et des mécanismes supplémentaires existent dans le noyau de Joomla pour empêcher le déclenchement de la vulnérabilité.
- Pour plus de détails, voyez ici : https://www.joomla.fr/actualites/joomla-org/item/1658-vulnerabilite-de-phpmailer-le-point-sur-la-situation

Il est conseillé aux utilisateurs de bibliothèque PHPMailer séparés de Joomla de passer à la version 5.2.20 ou plus récente, aussi vite que possible.