प्लेटफ़ॉर्म
php
घटक
php
में ठीक किया गया
7.3.16
7.4.4
CVE-2020-7065 PHP में एक स्टैक ओवरफ्लो भेद्यता है, जो mb_strtolower() फ़ंक्शन के साथ UTF-32LE एन्कोडिंग का उपयोग करते समय होती है। इस भेद्यता का फायदा उठाकर मेमोरी करप्शन, क्रैश और संभावित रूप से कोड निष्पादन किया जा सकता है। यह भेद्यता PHP संस्करण 7.3.0 से 7.3.16 और 7.4.0 से 7.4.4 को प्रभावित करती है। इसे PHP संस्करण 7.4.4 में ठीक किया गया है।
CVE-2020-7065 एक गंभीर भेद्यता है जो PHP के कुछ संस्करणों में पाई गई है। यह भेद्यता mb_strtolower() फ़ंक्शन के साथ UTF-32LE एन्कोडिंग का उपयोग करते समय उत्पन्न होती है। यदि कोई हमलावर विशेष रूप से तैयार किए गए, अमान्य स्ट्रिंग इनपुट करता है, तो PHP स्टैक-आवंटित बफर को ओवरराइट कर सकता है। इस ओवरराइटिंग के परिणामस्वरूप मेमोरी भ्रष्टाचार, PHP प्रक्रिया का क्रैश, और सबसे गंभीर रूप से, संभावित रूप से कोड निष्पादन (RCE) हो सकता है। हमलावर इस भेद्यता का उपयोग सर्वर पर अनधिकृत कोड चलाने, संवेदनशील डेटा तक पहुंचने या सिस्टम के नियंत्रण को हासिल करने के लिए कर सकता है। प्रभावित सिस्टम में संग्रहीत डेटा, जैसे उपयोगकर्ता जानकारी, वित्तीय रिकॉर्ड और अन्य गोपनीय डेटा, खतरे में पड़ सकते हैं। चूंकि यह मेमोरी भ्रष्टाचार से संबंधित है, इसलिए इसका प्रभाव व्यापक हो सकता है, जिससे पूरे वेब एप्लिकेशन की सुरक्षा खतरे में पड़ सकती है। इस भेद्यता का फायदा उठाकर हमलावर सर्वर संसाधनों का उपयोग करके Denial of Service (DoS) भी उत्पन्न कर सकता है।
CVE-2020-7065 के लिए सार्वजनिक शोषण रिपोर्टें उपलब्ध नहीं हैं (KEV)। इसका मतलब है कि अभी तक इस भेद्यता का व्यापक रूप से शोषण नहीं किया गया है। हालांकि, भेद्यता की गंभीरता (HIGH CVSS स्कोर 7.4) को देखते हुए, यह संभावना है कि हमलावर इसका फायदा उठाने के तरीके खोज सकते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को विशेष रूप से तैयार किए गए इनपुट को PHP एप्लिकेशन में इंजेक्ट करने में सक्षम होना होगा जो mb_strtolower() फ़ंक्शन को UTF-32LE एन्कोडिंग के साथ संसाधित करता है। चूंकि सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) नहीं हैं, इसलिए तत्काल खतरा कम है, लेकिन इस भेद्यता को कम करने के लिए त्वरित कार्रवाई की सिफारिश की जाती है। भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, इसे प्राथमिकता के साथ संबोधित किया जाना चाहिए।
एक्सप्लॉइट स्थिति
EPSS
5.02% (90% शतमक)
CVSS वेक्टर
CVE-2020-7065 को ठीक करने का सबसे प्रभावी तरीका PHP को नवीनतम सुरक्षित संस्करण में अपग्रेड करना है। यदि आप PHP 7.3 का उपयोग कर रहे हैं, तो संस्करण 7.3.16 या बाद के संस्करण में अपग्रेड करें। यदि आप PHP 7.4 का उपयोग कर रहे हैं, तो संस्करण 7.4.4 या बाद के संस्करण में अपग्रेड करें। अपग्रेड करने से पहले, सुनिश्चित करें कि आपका एप्लिकेशन नए संस्करण के साथ संगत है और सभी आवश्यक परीक्षण किए गए हैं। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, mb_strtolower() फ़ंक्शन के उपयोग से बचें या इनपुट को मान्य करें ताकि यह सुनिश्चित हो सके कि UTF-32LE एन्कोडिंग के साथ उपयोग किए जाने पर अमान्य स्ट्रिंग इनपुट नहीं किए जा रहे हैं। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप सुरक्षा स्कैनिंग टूल या मैन्युअल परीक्षण का उपयोग करके इसकी पुष्टि कर सकते हैं। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजना बनाएं और उत्पादन वातावरण में लागू करने से पहले एक परीक्षण वातावरण में इसका परीक्षण करें।
Actualice a PHP versión 7.3.16 o superior, o a la versión 7.4.4 o superior. Esto corregirá la vulnerabilidad de desbordamiento de búfer en la función mb_strtolower con codificación UTF-32LE.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2020-7065 PHP में एक भेद्यता है जो mb_strtolower() फ़ंक्शन के साथ UTF-32LE एन्कोडिंग का उपयोग करते समय मेमोरी भ्रष्टाचार का कारण बन सकती है।
यदि आप PHP संस्करण 7.3.x के 7.3.16 से नीचे के या 7.4.x के 7.4.4 से नीचे के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2020-7065 को ठीक करने के लिए, PHP को संस्करण 7.3.16 या 7.4.4 या बाद के संस्करण में अपग्रेड करें।
फिलहाल, CVE-2020-7065 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं है।
अधिक जानकारी के लिए, NVD प्रविष्टि देखें: https://nvd.nist.gov/vuln/detail/CVE-2020-7065
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।