Plateforme
php
Composant
php
Corrigé dans
7.2.27
7.3.14
7.4.2
CVE-2020-7060 est une vulnérabilité dans les versions 7.2.x inférieures à 7.2.27, 7.3.x inférieures à 7.3.14 et 7.4.x inférieures à 7.4.2 de PHP, lors de l'utilisation de certaines fonctions mbstring pour convertir des encodages multibytes. Une exploitation réussie peut entraîner une divulgation d'informations ou un crash du système. Les versions affectées sont PHP 7.2.0 à 7.4.2. La vulnérabilité est corrigée dans la version 7.4.2.
La vulnérabilité CVE-2020-7060 affecte les versions de PHP 7.2.x antérieures à 7.2.27, 7.3.x antérieures à 7.3.14 et 7.4.x antérieures à 7.4.2. Il s'agit d'une vulnérabilité de dépassement de lecture de tampon (buffer over-read) qui se produit lors de l'utilisation de certaines fonctions mbstring pour convertir des encodages multibytes. Plus précisément, la fonction mbflfiltconvbig5wchar peut être trompée pour lire au-delà du tampon alloué lorsqu'elle reçoit des données malveillantes. Cela peut entraîner une divulgation d'informations (des données sensibles étant lues dans la mémoire) ou un plantage de l'application. Le risque est modéré, avec un score CVSS de 6,5. La mise à jour de PHP vers une version corrigée est cruciale pour atténuer ce risque.
La vulnérabilité est exploitée en fournissant des données soigneusement conçues aux fonctions de conversion d'encodage multibyte à l'intérieur de mbstring. Ces données peuvent être injectées via diverses sources, telles que les entrées utilisateur, les fichiers téléchargés ou les variables d'environnement. Un attaquant peut exploiter cette vulnérabilité pour lire des informations confidentielles de la mémoire du serveur, telles que des mots de passe, des clés API ou des données de session. Dans certains cas, l'exploitation peut entraîner une exécution de code à distance, bien que cela soit moins probable. La complexité de l'exploitation dépend de la capacité de l'attaquant à contrôler les données d'entrée et à comprendre le fonctionnement interne des fonctions mbstring.
Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.
• linux / server:
journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"• php:
Check PHP version: php -v
• generic web:
Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.
disclosure
Statut de l'Exploit
EPSS
6.40% (percentile 91%)
Vecteur CVSS
La solution la plus efficace pour résoudre la vulnérabilité CVE-2020-7060 est de mettre à jour vers une version de PHP qui inclut la correction. Cela signifie passer à PHP 7.2.27 ou une version ultérieure, PHP 7.3.14 ou une version ultérieure, ou PHP 7.4.2 ou une version ultérieure. Si une mise à jour immédiate n'est pas possible, examinez votre code source pour identifier et éliminer l'utilisation de fonctions mbstring qui pourraient être vulnérables à cette faille. De plus, mettez en œuvre les meilleures pratiques de sécurité, telles que la validation et la désinfection des entrées utilisateur, afin de réduire la surface d'attaque. La mise à jour est la meilleure pratique et doit être priorisée.
Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions de PHP 7.2.x antérieures à 7.2.27, 7.3.x antérieures à 7.3.14 et 7.4.x antérieures à 7.4.2 sont vulnérables.
Vérifiez la version de PHP installée sur votre serveur. Vous pouvez utiliser la commande php -v dans la ligne de commande ou vérifier la configuration de votre serveur web.
mbstring est une extension PHP qui fournit des fonctions pour travailler avec des chaînes multibytes, ce qui est nécessaire pour prendre en charge différents encodages de caractères tels que UTF-8.
Examinez votre code pour supprimer ou atténuer l'utilisation de fonctions mbstring suspectes et validez les entrées utilisateur.
Vous pouvez trouver plus d'informations dans l'avis de sécurité PHP : https://www.php.net/security/7.4/7.4.2
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.