1、漏洞背景描述

PHPMailer是一个用于发送电子邮件的PHP类库。近期，监测到PHPMailer两个远程代码执行漏洞，编号分别为CVE-2021-34551、CVE-2021-360。

2、漏洞概述

CVE-2021-34551：该漏洞源于在处理$lang_path参数时对setLanguage()方法内用户提供数据的验证不足，远程攻击者可向应用传送一个特殊构造的输入，通过受影响的参数设置UNC路径，从而在系统上执行任意PHP代码。

CVE-2021-3603：该漏洞源于输入验证不当，可允许未受信任的代码从地址验证器运行。远程攻击者可通过发送一个特殊构造的请求在目标系统上执行任意代码。

3、漏洞风险

可在目标系统上执行任意代码。

4、漏洞影响

PHPMailer < 6.5.0

5、修复建议

官方已发布最新安全版本，建议及时下载更新，下载地址：https://github.com/PHPMailer/PHPMailer/releases/