まず前提として、PHPMailerの脆弱性は https://github.com/opsxcq/exploit-CVE-2016-10033/blob/master/www/index.php#L33 この箇所のコード、外部からの入力$emailを送信者アドレスとして$phpmailer->setFrom($email, $name)と設定することで発生する。 または直接$phpmailer->Sender = $emailとしても同じ。 それ以外ではPHPMailerのSenderプロパティが書き換わることは無く脆弱性も発生しないという認識なんだけれども。合ってるだろうか。 WordPressのメール送信はwp_mailという関数で実行されていて、そこには /** * Filters the email address to send from. * * @since 2.2.0 *
![PHPMailerの脆弱性CVE-2016-10033はWordPressにどの程度影響するのだろうか - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/27fe62055478b639bc2e9857e6dcf0b621ff25a2/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9UEhQTWFpbGVyJUUzJTgxJUFFJUU4JTg0JTg2JUU1JUJDJUIxJUU2JTgwJUE3Q1ZFLTIwMTYtMTAwMzMlRTMlODElQUZXb3JkUHJlc3MlRTMlODElQUIlRTMlODElQTklRTMlODElQUUlRTclQTglOEIlRTUlQkElQTYlRTUlQkQlQjElRTklOUYlQkYlRTMlODElOTklRTMlODIlOEIlRTMlODElQUUlRTMlODElQTAlRTMlODIlOEQlRTMlODElODYlRTMlODElOEImdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPTAyZThhNTE3ZWFhZTI4Nzc4YTJlMjU5MDcyZDMwY2U5%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBuaXNoaW11cmEmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWQ5ZGVhNTY2MjJjZDUwY2Y1NWNjOThlMzUyMTI5YjZi%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Db09714bdd0d6132a2cb74f76cb00d95a)