Résumé
Le 7 juillet 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans PHPMailer, une bibliothèque PHP très utilisée pour envoyer des emails depuis des sites web et de nombreux CMS (WordPress, Joomla, Drupal, etc.).
Référencée sous CVE-2016-10033, cette vulnérabilité permet à un attaquant distant d’exploiter une mauvaise gestion des données entrantes dans la fonction mail() du script `class.phpmailer.php` , pour injecter et exécuter du code malveillant sur le serveur. En cas d’échec de l’attaque, cela peut provoquer un déni de service, rendant le service indisponible.
Impact : Prise de contrôle du serveur, vol de données, défiguration de site, installation de portes dérobées.
Solutions
Il est recommandé de mettre à jour PHPMailer vers la version 5.2.18 ou ultérieure, qui corrige cette vulnérabilité. En l’absence de correctif, il faut appliquer les mesures d’atténuation recommandées par le fournisseur ou envisager d’arrêter l’utilisation du produit.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.8
Risques : Exécution de code arbitraire,
déni de service
Systèmes affectés
- PHPMailer versions antérieures à 5.2.18
Documentation
- Référence :
https://packetstorm.news/files/id/140350
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2016-10033
- CVE Details
https://www.cvedetails.com/cve/CVE-2016-10033/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2016-10033