Plattform
php
Komponente
php
Behoben in
7.2.27
7.3.14
7.4.2
CVE-2020-7060 describes a buffer overflow vulnerability affecting PHP versions 7.2.x (prior to 7.2.27), 7.3.x (prior to 7.3.14), and 7.4.x (prior to 7.4.2). This vulnerability arises when using certain mbstring functions to convert multibyte encodings, allowing attackers to supply data that triggers a read past the allocated buffer. The vulnerability can lead to information disclosure or a denial-of-service crash. A fix is available in PHP 7.4.2.
CVE-2020-7060 betrifft PHP-Versionen 7.2.x vor 7.2.27, 7.3.x vor 7.3.14 und 7.4.x vor 7.4.2. Es handelt sich um eine Pufferüberlese-Schwachstelle (buffer over-read vulnerability), die auftritt, wenn bestimmte mbstring-Funktionen zur Konvertierung von Multibyte-Encodierungen verwendet werden. Insbesondere kann die Funktion mbflfiltconvbig5wchar dazu verleitet werden, über den zugewiesenen Puffer hinaus zu lesen, wenn ihr bösartige Daten zugeführt werden. Dies kann zu einer Offenlegung von Informationen (sensible Daten werden aus dem Speicher gelesen) oder zu einem Absturz der Anwendung führen. Das Risiko ist moderat, mit einem CVSS-Wert von 6,5. Ein Update von PHP auf eine gepatchte Version ist entscheidend, um dieses Risiko zu mindern.
Die Schwachstelle wird ausgenutzt, indem sorgfältig gestaltete Daten an die Funktionen zur Konvertierung von Multibyte-Encodierungen innerhalb von mbstring übergeben werden. Diese Daten können über verschiedene Quellen injiziert werden, z. B. über Benutzereingaben, hochgeladene Dateien oder Umgebungsvariablen. Ein Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen aus dem Speicher des Servers zu lesen, z. B. Passwörter, API-Schlüssel oder Sitzungsdaten. In einigen Fällen kann die Ausnutzung zu einer Remote-Codeausführung führen, obwohl dies weniger wahrscheinlich ist. Die Komplexität der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die Eingabedaten zu kontrollieren und die interne Funktionsweise der mbstring-Funktionen zu verstehen.
Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.
• linux / server:
journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"• php:
Check PHP version: php -v
• generic web:
Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.
disclosure
Exploit-Status
EPSS
6.40% (91% Perzentil)
CVSS-Vektor
Die effektivste Lösung zur Behebung von CVE-2020-7060 ist ein Update auf eine PHP-Version, die die Korrektur enthält. Dies bedeutet ein Upgrade auf PHP 7.2.27 oder höher, PHP 7.3.14 oder höher oder PHP 7.4.2 oder höher. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie Ihren Quellcode, um die Verwendung von mbstring-Funktionen zu identifizieren und zu eliminieren, die anfällig für diese Schwachstelle sein könnten. Implementieren Sie außerdem Sicherheits-Best Practices wie die Validierung und Bereinigung von Benutzereingaben, um die Angriffsfläche zu verringern. Ein Update ist die beste Vorgehensweise und sollte Priorität haben.
Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
PHP-Versionen 7.2.x vor 7.2.27, 7.3.x vor 7.3.14 und 7.4.x vor 7.4.2 sind betroffen.
Überprüfen Sie die auf Ihrem Server installierte PHP-Version. Sie können den Befehl php -v in der Befehlszeile verwenden oder die Konfiguration Ihres Webservers überprüfen.
mbstring ist eine PHP-Erweiterung, die Funktionen zur Arbeit mit Multibyte-Strings bereitstellt, die erforderlich sind, um verschiedene Zeichensatzkodierungen wie UTF-8 zu unterstützen.
Überprüfen Sie Ihren Code, um die Verwendung verdächtiger mbstring-Funktionen zu entfernen oder zu mildern und validieren Sie Benutzereingaben.
Sie finden weitere Informationen in der PHP-Sicherheitsmitteilung: https://www.php.net/security/7.4/7.4.2
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.