PHPのescapeshellcmdを巡る冒険はmail関数を経てCVE-2016-10033に至った | 徳丸浩の日記

2016/12/30 57 users 徳丸浩 エグゼクティブサマリ CVE-2016-10033

エグゼクティブサマリ 2011年始めに徳丸がescapeshellcmdの危険性を指摘したが、この問題はmail関数のadditional_parameters経由で攻撃可能であることが2013年末に指摘された。その後2016年末に、PHPMailerの脆弱性CVE-2016-10033として現実のものとなった 経緯 2011/1/1 徳丸が「 PHPのescapeshellcmdの危険性 」を書... 続きを読む

PHPのmail関数、mb_send_mail関数のマニュアルに警告が追記されていた | 徳丸浩の日記

2016/12/29 37 users 徳丸浩 PHP PHPMailer 警告 マニュアル

昨日の記事「  PHPMailerの脆弱性CVE-2016-10033について解析した   にて、PHPMailerの脆弱性CVE-2016-10033の原因はmail関数が内部で呼んでいるescapeshellcmd関数の仕様が原因であると指摘しました。そして、mail関数の危険性については、小邨孝明さんが2013年12月23日の記事にて指摘していました。 mb_send_mail関数(mail... 続きを読む

PHPで日本語メールを送る – 応用編 (添付ファイル、HTMLメール) - EC studio 技術ブログ

2007/08/09 518 users PHP ヘッダ 添付ファイル EC studio 応用編

PHPで日本語メールを送る - 基本編に引き続き、 今回は応用編をお送りします。 基本編で解説したmb_send_mailを使えば シンプルなメールを送るには十分な機能がありますが、 それ以上に複雑なこと、例えばHTMLメールや添付ファイルを 使ったメールにはmb_send_mailは使えません。 mail関数を使ってヘッダにガリガリとメールの仕様に そって書けば送れるのですが、それではあまりに ... 続きを読む