प्लेटफ़ॉर्म
php
घटक
php
में ठीक किया गया
7.2.27
7.3.14
7.4.2
CVE-2020-7060, PHP में एक बफर ओवर-रीड भेद्यता है जब कुछ mbstring फ़ंक्शंस का उपयोग मल्टीबाइट एन्कोडिंग को बदलने के लिए किया जाता है। यह भेद्यता जानकारी के प्रकटीकरण या क्रैश का कारण बन सकती है। यह PHP संस्करण 7.2.0 से 7.4.2 को प्रभावित करता है। संस्करण 7.4.2 में इस समस्या को ठीक कर दिया गया है।
CVE-2020-7060 PHP के संस्करण 7.2.x 7.2.27 से पहले, 7.3.x 7.3.14 से पहले और 7.4.x 7.4.2 से पहले को प्रभावित करता है। यह एक बफर ओवर-रीड भेद्यता (buffer over-read vulnerability) है जो तब होती है जब मल्टीबाइट एन्कोडिंग को बदलने के लिए कुछ mbstring फ़ंक्शन का उपयोग किया जाता है। विशेष रूप से, mbflfiltconvbig5wchar फ़ंक्शन को दुर्भावनापूर्ण डेटा प्रदान किए जाने पर आवंटित बफर से बाहर पढ़ने के लिए बरगलाया जा सकता है। इससे जानकारी का खुलासा (मेमोरी से संवेदनशील डेटा पढ़ा जा रहा है) या एप्लिकेशन क्रैश हो सकता है। जोखिम मध्यम है, CVSS स्कोर 6.5 के साथ। इस जोखिम को कम करने के लिए, पैच किए गए PHP संस्करण में अपडेट करना महत्वपूर्ण है।
इस भेद्यता का शोषण mbstring के भीतर मल्टीबाइट एन्कोडिंग रूपांतरण कार्यों को सावधानीपूर्वक तैयार किए गए डेटा प्रदान करके किया जाता है। इन डेटा को विभिन्न स्रोतों से इंजेक्ट किया जा सकता है, जैसे कि उपयोगकर्ता इनपुट, अपलोड की गई फ़ाइलें या पर्यावरण चर। एक हमलावर इस भेद्यता का उपयोग सर्वर मेमोरी से गोपनीय जानकारी, जैसे पासवर्ड, एपीआई कुंजी या सत्र डेटा पढ़ने के लिए कर सकता है। कुछ मामलों में, शोषण से रिमोट कोड निष्पादन हो सकता है, हालांकि यह कम संभावित है। शोषण की जटिलता हमलावर की इनपुट डेटा को नियंत्रित करने और mbstring फ़ंक्शन के आंतरिक कामकाज को समझने की क्षमता पर निर्भर करती है।
Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.
• linux / server:
journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"• php:
Check PHP version: php -v
• generic web:
Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.
disclosure
एक्सप्लॉइट स्थिति
EPSS
6.40% (91% शतमक)
CVSS वेक्टर
CVE-2020-7060 को संबोधित करने का सबसे प्रभावी समाधान PHP के उस संस्करण में अपडेट करना है जिसमें फिक्स शामिल है। इसका मतलब PHP 7.2.27 या बाद में, PHP 7.3.14 या बाद में, या PHP 7.4.2 या बाद में अपग्रेड करना है। यदि तत्काल अपडेट संभव नहीं है, तो अपने स्रोत कोड की समीक्षा करें ताकि इस दोष के प्रति संवेदनशील हो सकने वाले mbstring फ़ंक्शन के उपयोग की पहचान और समाप्त किया जा सके। इसके अतिरिक्त, हमले की सतह को कम करने के लिए उपयोगकर्ता इनपुट सत्यापन और सफाई जैसे सुरक्षा सर्वोत्तम प्रथाओं को लागू करें। अपडेट करना सबसे अच्छी प्रथा है और इसे प्राथमिकता दी जानी चाहिए।
Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
PHP संस्करण 7.2.x 7.2.27 से पहले, 7.3.x 7.3.14 से पहले और 7.4.x 7.4.2 से पहले प्रभावित हैं।
अपने सर्वर पर स्थापित PHP संस्करण की जांच करें। आप कमांड लाइन में php -v कमांड का उपयोग कर सकते हैं या अपने वेब सर्वर कॉन्फ़िगरेशन की जांच कर सकते हैं।
mbstring एक PHP एक्सटेंशन है जो मल्टीबाइट स्ट्रिंग्स को संभालने के लिए फ़ंक्शन प्रदान करता है, जो UTF-8 जैसे विभिन्न वर्ण एन्कोडिंग का समर्थन करने के लिए आवश्यक है।
अपने कोड की जांच करें ताकि संदिग्ध mbstring फ़ंक्शन के उपयोग को हटाया या कम किया जा सके, और उपयोगकर्ता इनपुट को मान्य करें।
आप PHP सुरक्षा सलाहकार में अधिक जानकारी पा सकते हैं: https://www.php.net/security/7.4/7.4.2
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।