Plateforme
php
Composant
php
Corrigé dans
7.3.16
7.4.4
La CVE-2020-7065 est une vulnérabilité de corruption mémoire affectant PHP. Plus précisément, l'utilisation de la fonction mb_strtolower() avec l'encodage UTF-32LE peut, dans certaines conditions, provoquer un dépassement de tampon alloué sur la pile. Cela peut entraîner une corruption de la mémoire, des plantages et potentiellement l'exécution de code. Les versions de PHP affectées sont les versions 7.3.0 à 7.3.16 et 7.4.0 à 7.4.4. Cette vulnérabilité est corrigée dans la version 7.4.4.
La vulnérabilité CVE-2020-7065 affecte les applications PHP qui utilisent la fonction mbstrtolower() avec l'encodage UTF-32LE et traitent des chaînes de caractères invalides. Un attaquant pourrait exploiter cette faille en fournissant une entrée spécialement conçue à une application PHP. Cette entrée, lorsqu'elle est traitée par mbstrtolower() avec UTF-32LE, provoque une écriture hors des limites d'un tampon alloué sur la pile. Cette corruption de mémoire peut entraîner un plantage de l'application PHP, voire, dans des circonstances plus complexes, une exécution de code arbitraire. Les données sensibles stockées en mémoire, telles que les informations d'authentification, les clés de session ou les données de configuration, pourraient être compromises. Le rayon d'impact est potentiellement large, affectant tous les utilisateurs de l'application vulnérable, en particulier si l'application traite des données fournies par l'utilisateur sans validation appropriée. L'exploitation réussie pourrait permettre à un attaquant de prendre le contrôle du serveur web hébergeant l'application PHP, compromettant ainsi l'ensemble du système et les données associées.
À ce jour, il n'y a pas de rapports publics d'exploitation active de la vulnérabilité CVE-2020-7065. Bien que cela ne signifie pas que l'exploitation est impossible, cela réduit l'urgence immédiate. Cependant, la vulnérabilité a le potentiel d'être exploitée, et il est recommandé de la corriger dès que possible. L'absence de preuves d'exploitation publique ne doit pas être interprétée comme une garantie de sécurité. Il est conseillé de surveiller les forums de sécurité et les bulletins de sécurité pour toute nouvelle information concernant l'exploitation de cette vulnérabilité. La complexité de l'encodage UTF-32LE pourrait rendre l'exploitation plus difficile, mais elle reste une préoccupation importante.
Statut de l'Exploit
EPSS
5.02% (percentile 90%)
Vecteur CVSS
La solution la plus efficace pour corriger CVE-2020-7065 est de mettre à jour votre version de PHP vers une version corrigée. Les versions affectées sont les 7.3.x inférieures à 7.3.16 et les 7.4.x inférieures à 7.4.4. Il est fortement recommandé de mettre à jour vers la version 7.4.4 ou une version ultérieure. Si une mise à jour immédiate n'est pas possible, une solution de contournement temporaire consiste à éviter l'utilisation de la fonction mb_strtolower() avec l'encodage UTF-32LE. Vous pouvez envisager d'utiliser une autre fonction de conversion en minuscules ou de valider et de nettoyer les entrées utilisateur avant de les traiter. Après la mise à jour ou l'application d'un contournement, il est crucial de vérifier que l'application fonctionne correctement et qu'elle ne présente plus de vulnérabilité. Effectuez des tests approfondis, y compris des tests de pénétration, pour confirmer la correction.
Actualice a PHP versión 7.3.16 o superior, o a la versión 7.4.4 o superior. Esto corregirá la vulnerabilidad de desbordamiento de búfer en la función mb_strtolower con codificación UTF-32LE.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-7065 is a vulnerability in PHP where the mb_strtolower() function, when used with UTF-32LE encoding and certain invalid strings, can lead to a stack buffer overflow.
You are affected if you are running PHP versions 7.3.x below 7.3.16 or 7.4.x below 7.4.4.
Upgrade to PHP 7.4.4 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2020-7065.
Refer to the National Vulnerability Database (NVD) entry at https://nvd.nist.gov/vuln/detail/CVE-2020-7065 and the PHP security advisory for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.