資安研究人員Dawid Golunski本周日（12/25）揭露一藏匿在PHPMailer的安全漏洞，將允許遠端駭客執行任意程式，估計影響數百萬個網站PHPMailer開發團隊則在一周內釋出兩次更新以修補該漏洞。

PHPMailer為一可用來安全運送郵件的函式庫，是全球最受歡迎的PHP郵件寄送函式庫之一，包括WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer，Golunski估計PHPMailer的全球用戶超過900萬。

Golunski說明，駭客可藉由各種常見的網站元件送出電子郵件以開採此一編號為CVE-2016-10033的安全漏洞，例如聯絡/意見格式、註冊格式，或是電子郵件密碼重置等，成功的開採將可危害網路應用程式，或是針對網站伺服器的使用者進行遠端程式攻擊，影響所有的PHPMailer版本。

PHPMailer團隊已在上周六（12/24）釋出PHPMailer 5.2.18修補了CVE-2016-10033，不過，Golunski隨後便發現他能繞過此一修補程式，促使該團隊於本周三（12/28）再度釋出5.2.20進行修補。

有鑑於該漏洞的嚴重性，再加上已有攻擊程式在網路上流傳，讓向來不針對第三方函式庫發出公告的Drupal也發聲，提醒採用PHPMailer的Drupal用戶儘速更新。