CVE-2016-10034
## Descrição Foi publicada recentemente uma vulnerabilidade crítica em todas as versões do PHPMailer anteriores à versão 5.2.18 (CVE-2016-10033), tendo sido mais tarde tornado público um zero-day que explorava todas as versões anteriores à versão 5.2.20 (CVE-2016-10045). Esta vulnerabilidade permite que um atacante remoto não autenticado execute código arbitrário no contexto do servidor web, comprometendo a aplicação web alvo. De forma a explorar esta vulnerabilidade o atacante pode tirar partido do uso de formulários de contacto/feedback, de registo, de recuperação de acessos por e-mail e outros formulários que enviem e-mails através de uma classe PHPMailer vulnerável. A mesma vulnerabilidade também pode ser explorada nas seguintes aplicações: - Versões de Zend Framework anteriores à versão 2.4.11 (CVE-2016-10034) - Versões de Swift Mailer anteriores à versão 5.4.5 (CVE-2016-10074) - Versões do Roundcube anteriores à versão 1.2.3 ## Impacto A exploração com sucesso desta vulnerabilidade permite que haja um comprometimento total da aplicação web.
EPSS 82.32% · 99.2th percentile
Risk Scores
Timeline
- CVE Published
- Dec 31, 2016 PoC Published
- Jun 21, 2017 PoC Published
- Jun 22, 2017 PoC Published
- Feb 4, 2022 EPSS Score
- Aug 10, 2024 EPSS Score
- Aug 12, 2024 EPSS Score
- Mar 17, 2025 EPSS Score
- Mar 19, 2025 EPSS Score
- Mar 25, 2025 EPSS Score
- Mar 26, 2025 EPSS Score
- Mar 28, 2025 EPSS Score