De kwetsbaarheid is aangekaart door beveiligingsonderzoeker Dawid Golunski. Hij meldt dat de PHPMailer-component een beveiligingslek bevat. PHP is een open source-taal die wordt gebruikt in websites. Volgens Golunski zijn alle versies van voor versie 5.2.18 kwetsbaar.
Websites gebruiken het script voor contactformulieren voor het invoeren van bijvoorbeeld een e-mailadres en feedback. De beveiligingsonderzoeker stelt dat ongeveer negen miljoen websites gebruikmaken van het script.
Volgens Golunski controleert PHPMailer niet of een e-mailadres dat in een webformulier wordt ingevoerd, klopt. Dat zou bijvoorbeeld hackers in staat stellen om via een omweg een code uit te voeren op de server van een site. De kwetsbaarheid is hier gedocumenteerd.
Update installeren
Volgens de ontwikkelaars van PHPMailer is het lek sinds de laatste update van het mailscript gedicht. Beheerders van websites moeten die update installeren om de beveiliging te herstellen. Golunski zegt dat hij op een later moment wil beschrijven hoe de aanval precies uitgevoerd kan worden. Hij wil websitebeheerders eerst de tijd geven het lek te dichten. Beveiligingsonderzoeker Kevin Beaumont stelt dat met de update van PHPMailer het probleem nog niet is verholpen. Volgens hem is het nog steeds mogelijk om de geupdate versie van PHPMailer te omzeilen.
Om te kunnen beoordelen moet u ingelogd zijn: