CVE-2021-3603

Versões 6.4.1 e anteriores do PHPMailer

O problema está relacionado à função validateAddress do PHPMailer, que pode levar à execução de código não confiável caso tal código seja injetado no escopo do projeto anfitrião por outros meios. Isso ocorre quando o parâmetro $patternselect é definido como ‘php’ (o padrão) e uma função chamada php existe no namespace global, fazendo com que ela seja chamada em vez do validador embutido. O problema está associado à inclusão de funções provenientes de uma área controlada não confiável.

Para as versões 6.4.1 e anteriores do PHPMailer, atualize para o PHPMailer 6.5.0 para mitigar o problema, pois ele impede o uso de strings simples como nomes de funções de validação. Como solução temporária, considere desativar a função validateAddress() até que um patch esteja disponível. Restrinja o acesso ao namespace global para impedir a injeção de funções maliciosas. Evite usar o nome de função php no namespace global para minimizar o risco de exploração.