「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN) | ScanNetSecurity
2026.04.30(木)

「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN)

IPAおよびJPCERT/CCは、PHPで作成されたWebアプリケーションにメールの送信機能を追加するためのライブラリ「PHPMailer」にOSコマンドインジェクションの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
23 views
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月28日、PHPで作成されたWebアプリケーションにメールの送信機能を追加するためのライブラリ「PHPMailer」にOSコマンドインジェクションの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは5.4。なお、本脆弱性を使用した攻撃コードが公開されている。

「PHPMailer 5.2.18 より前のバージョン」には、OSコマンドインジェクションの脆弱性(CVE-2016-10033)が存在する。この脆弱性が悪用されると、想定される影響はWebアプリケーションの実装によるが、Webアプリケーションの実行権限で任意のOSコマンドが実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  2. AI コーディングエージェント「Claude Code」に重大な脆弱性、エーアイセキュリティラボ 安西真人氏 発見

    AI コーディングエージェント「Claude Code」に重大な脆弱性、エーアイセキュリティラボ 安西真人氏 発見

  3. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

  4. 村田製作所への不正アクセス 第3報、約8.8万件の個人情報が漏えいした可能性

    村田製作所への不正アクセス 第3報、約8.8万件の個人情報が漏えいした可能性

  5. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP