近日，波兰安全研究员Dawid Golunski在开源PHPMalier发现了严重安全漏洞(CVE-2016-10033)，它能允许攻击者在Web服务器上远程执行任意代码，入侵目标Web应用程序。

PHPMailer是一款流行的开源PHP库，被全球超过900万的用户用于发送邮件。全球有数百万的PHP网站和开源Web应用程序（包括WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla）都在使用PHPMailer发送电子邮件。它能提供的功能如下：

在发送邮时指定多个收件人，抄送地址，暗送地址和回复地址
支持多种邮件编码包括：8bit，base64，binary和quoted-printable
支持SMTP验证
支持冗余SMTP服务器
支持带附件的邮件和Html格式的邮件
自定义邮件头
支持在邮件中嵌入图片
调试灵活
经测试兼容的SMTP服务器包括：Sendmail,qmail,Postfix,Imail,Exchange等
可运行在任何平台之上

PHPMalier再次被发现一个CVE

然而Golunski并没有在此终止，他试图绕过最新版本的PHPMalier，也就又创造了一个CVE（CVE-2016-10045）。这一新漏洞的出现再次将数百万的网站和开源Web应用置于了危险之中，可被攻击者远程执行任意代码。受影响的Web应用有：WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla。

最新 5.2.20版本的PHPMalier已经修复了这一漏洞，之前所有版本的PHPMalier均存在安全问题，建议用户将自己的库更新至最新版本。

除了PHPMalier上存在该漏洞之外，Golunski还在另外两个邮件服务库 SwiftMailer、ZendMail上发现了类似的安全问题，可被攻击者远程执行任意代码。

SwiftMailer上的远程代码执行漏洞

SwiftMailer也是一个流行的PHP库，被许多开源项目使用，包括Yii2，Laravel，Symfony。SwiftMailer上的这个漏洞也是CVE（CVE-2016-10074），利用方式与PHPMalier类似。攻击者主要针对的是SwiftMailer的网站组件，例如联系人/注册表单，密码，电子邮件，重置表单。

攻击者可在Web服务器上远程执行任意代码，从而访问所有使用SwiftMailer的应用的Web服务器。5.4.5-DEV之前所有版本均存在CVE-2016-10074漏洞。好在SwiftMailer的安全团队在得知漏洞存在之后，迅速开发出了最新版本的SwiftMailer（5.4.5-DEV版本），修复了该漏洞。

ZendMail上的远程代码执行漏洞

ZendMail是PHP编程框架Zend Framework的组件，拥有超过9.5亿的安装量。

ZendMail上的漏洞也是远程代码执行漏洞（CVE-2016-10034），情况和PHPMalier、SwiftMailer上的漏洞相似。当使用ZendMail组件通过Zend \ Mail \ Transport \ Sendmail传输发送邮件，恶意用户能够向sendmail程序注入任意参数。攻击者通过在地址内提供附加引号字符来执行; 当取消验证时，它们可以被解释为额外的命令行参数，从而导致漏洞。

三个漏洞的演示视频如下：