PHP सत्र अपलोड प्रगति में नल पॉइंटर डिरेफरेंस

CVE-2020-7062 भेद्यता PHP के 7.2.x (7.2.28 से पहले), 7.3.x (7.3.15 से पहले) और 7.4.x (7.4.3 से पहले) संस्करणों को प्रभावित करती है। यह तब होता है जब फ़ाइल अपलोड कार्यक्षमता का उपयोग किया जाता है और अपलोड प्रगति ट्रैकिंग सक्षम होती है। यदि session.upload_progress.cleanup को 0 (अक्षम) पर सेट किया गया है, तो फ़ाइल अपलोड विफल होने पर, PHP मौजूद नहीं हो सकने वाले डेटा को साफ़ करने का प्रयास करता है, जिससे नल पॉइंटर संदर्भ होता है। इससे एप्लिकेशन क्रैश हो सकता है, जिससे सेवा से इनकार हो सकता है। इस भेद्यता के लिए CVSS स्कोर 7.5 है, जो मध्यम से उच्च जोखिम दर्शाता है, खासकर उन वातावरणों में जहां फ़ाइल अपलोड एक महत्वपूर्ण कार्यक्षमता है।

Web applications utilizing PHP versions 7.2.x below 7.2.28, 7.3.x below 7.3.15, and 7.4.x below 7.4.3, particularly those employing file upload functionality with progress tracking enabled, are at risk. Shared hosting environments running vulnerable PHP versions are also a significant concern.

• linux / server:

journalctl -u php7.4 -g "Null Pointer Dereference"

• generic web:

curl -I https://your-php-application.com/upload.php | grep -i "PHP/7.4.2"

1. 2020-02-27Disclosure

   disclosure

1. आरक्षित2020-01-15
2. प्रकाशित2020-02-27
3. संशोधित2024-09-16
4. EPSS अद्यतन2026-04-02

CVE-2020-7062 के लिए समाधान PHP के उस संस्करण में अपग्रेड करना है जिसमें सुधार शामिल है। इसका मतलब PHP 7.2.28 या उच्चतर, PHP 7.3.15 या उच्चतर, या PHP 7.4.3 या उच्चतर में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी शमन अपलोड प्रगति सफाई को सक्षम करके session.upload_progress.cleanup को 1 पर सेट करना होगा। हालाँकि, इस कॉन्फ़िगरेशन का प्रदर्शन पर प्रभाव पड़ सकता है, इसलिए पैच किए गए संस्करण में अपग्रेड करने की सिफारिश की जाती है। इस भेद्यता के शोषण को रोकने के लिए प्रभावित PHP संस्करणों का उपयोग करने वाले सभी सिस्टम की समीक्षा और अद्यतन करना महत्वपूर्ण है।