k tomu bych doplnil, že podle původního příspěvku na blogu zranitelnost se projeví i pokud je email ve správném tvaru (s mezerou a uvozovkami, což je také trochu extrém).
A ano, všichni o tom píší jen pro ten bulvár, reálná zranitelnost je velice malá a třeba Wordpress jí není postihnut, nějaký jeho plugin možná.
Zpráva je hodně bulvární, doplním, že aby se chyba projevila, je nutné "splnit" všechny tyto podmínky:
- jako From: uvést email uvedený uživatelem třeba z formuláře a neuvést Sender: header. Dávat do From: email od uživatele bez kontroly je samo o sobě blbost, k tomu slouží Reply-To:
- použít fci mail() v php (nikoli SMTP)
- na serveru nesmí být postfix apod., ale jen originální sendmail
ČLÁNKY DO MAILU