资安研究人员Dawid Golunski本周日 揭露 一藏匿在PHPMailer的安全漏洞，将允许远端骇客执行任意程式，估计影响数百万个网站PHPMailer开发团队则在一周内释出两次更新以修补该漏洞。

PHPMailer为一可用来安全运送邮件的函式库，是全球最受欢迎的PHP邮件寄送函式库之一，包括WordPress、Drupal及Joomla!等开源CMS平台都使用PHPMailer，Golunski估计PHPMailer的全球用户超过900万。

Golunski说明，骇客可藉由各种常见的网站元件送出电子邮件以开采此一编号为CVE-2016-10033的安全漏洞，例如联络/意见格式、注册格式，或是电子邮件密码重置等，成功的开采将可危害网路应用程式，或是针对网站服务器的使用者进行远端程式攻击，影响所有的PHPMailer版本。

PHPMailer团队已在上周六 释出PHPMailer 5.2.18修补了CVE-2016-10033 ，不过，Golunski随后便发现他能绕过此一修补程式，促使该团队于本周三再度释出5.2.20进行修补。

有鉴于该漏洞的严重性，再加上已有攻击程式在网路上流传，让向来不针对第三方函式库发出公告的Drupal 也发声 ，提醒采用PHPMailer的Drupal用户尽速更新。