Foi encontrada uma nova vulnerabilidade no PHPMailer. Essa vulnerabilidade permite que um atacante remoto não autenticado consiga executar comandos arbitrários no servidor, podendo assim comprometer o ambiente web em questão.
O PHPMailer é provavelmente o código mais popular para envio de e-mails com PHP, e é utilizado em vários projetos Open Source, como WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! e muitos outros.
A vulnerabilidade está presente em todas versões anteriores a 5.2.20. Nas versões vulneráveis do PHPMailer, o endereço de e-mail do remetente é passado sem sanitização para um comando shell. Um invasor pode incluir comandos shell no e-mail do remetente, e então o código mal-intencionado é executado na máquina ou site de destino.
Se você é desenvolvedor e utiliza o PHPMailer para envio de e-mails, recomendamos que você atualize imediatamente o PHPMailer. Caso você utilize algum CMS open source que utilize o PHPMailer, veja se o mesmo está vulnerável e caso sim se existem atualizações para seu CMS com essa correção. Vale ressaltar também que plugins de CMS podem estar vulneráveis também, sendo assim é necessário atualiza-los também.
Mais informações podem ser obtidas nos links abaixo:
https://github.com/PHPMailer
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html