MEDIUMCVE-2020-7060CVSS 6.5

mbfl_filt_conv_big5_wchar におけるグローバルバッファオーバーフロー

Q: php の CVE-2020-7060 による影響を受けていますか？

サーバーにインストールされている PHP バージョンを確認してください。コマンドラインで `php -v` コマンドを使用するか、Web サーバーの構成を確認できます。

プラットフォーム

php

コンポーネント

php

修正版

7.2.27

7.3.14

7.4.2

AI Confidence: highNVDEPSS 6.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-7060は、PHPのmbstring関数でマルチバイトエンコーディングを変換する際に、割り当てられたバッファを超えて読み込む脆弱性です。この脆弱性により、情報漏洩やクラッシュが発生する可能性があります。影響を受けるのはPHP 7.2.0から7.4.2までのバージョンです。この問題はPHP 7.4.2で修正されました。

影響と攻撃シナリオ

CVE-2020-7060 は、PHP 7.2.x の 7.2.27 以前のバージョン、7.3.x の 7.3.14 以前のバージョン、および 7.4.x の 7.4.2 以前のバージョンに影響を与えます。これは、マルチバイトエンコーディングを変換するために特定の mbstring 関数を使用する際に発生するバッファオーバーリードの脆弱性です。具体的には、mbflfiltconvbig5wchar 関数は、悪意のあるデータが提供されると、割り当てられたバッファの範囲外から読み取られる可能性があります。これにより、情報漏洩（メモリから機密データが読み取られる）やアプリケーションのクラッシュにつながる可能性があります。リスクは中程度で、CVSS スコアは 6.5 です。このリスクを軽減するために、パッチが適用された PHP バージョンに更新することが重要です。

悪用の状況

この脆弱性は、mbstring 内のマルチバイトエンコーディング変換関数に慎重に作成されたデータを渡すことで悪用されます。これらのデータは、ユーザー入力、アップロードされたファイル、または環境変数など、さまざまなソースから注入される可能性があります。攻撃者は、この脆弱性を悪用して、サーバーのメモリからパスワード、API キー、セッションデータなどの機密情報を読み取ることができます。場合によっては、エクスプロイトによりリモートコード実行につながる可能性がありますが、これは可能性が低くなります。エクスプロイトの複雑さは、攻撃者が入力データを制御し、mbstring 関数の内部動作を理解する能力に依存します。

リスク対象者翻訳中…

Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.

検出手順翻訳中…

• linux / server:

journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"

• php: Check PHP version: php -v • generic web: Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.

攻撃タイムライン

2020-02-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard79% まだ脆弱

EPSS

6.40% (91% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントphp

ベンダーPHP Group

影響範囲修正版

7.2.0 – 7.2.267.2.27

7.3.0 – 7.3.137.3.14

7.4.0 – 7.4.17.4.2

弱点分類 (CWE)

CWE-125

タイムライン

予約済み2020-01-15
公開日2020-02-10
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

CVE-2020-7060 に対処するための最も効果的な解決策は、修正が含まれている PHP バージョンに更新することです。つまり、PHP 7.2.27 以降、PHP 7.3.14 以降、または PHP 7.4.2 以降にアップグレードすることです。直ちに更新できない場合は、ソースコードを調べて、この欠陥に脆弱な可能性のある mbstring 関数を特定して削除してください。さらに、攻撃対象領域を減らすために、ユーザー入力の検証とサニタイズなどのセキュリティベストプラクティスを実装してください。更新が最良の方法であり、優先されるべきです。

修正方法翻訳中…

Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-7060 とは何ですか？（php の Information Disclosure）

PHP 7.2.x の 7.2.27 以前のバージョン、7.3.x の 7.3.14 以前のバージョン、および 7.4.x の 7.4.2 以前のバージョンが影響を受けます。

php の CVE-2020-7060 による影響を受けていますか？

サーバーにインストールされている PHP バージョンを確認してください。コマンドラインで php -v コマンドを使用するか、Web サーバーの構成を確認できます。

php の CVE-2020-7060 を修正するにはどうすればよいですか？

mbstring は、UTF-8 などのさまざまな文字エンコーディングをサポートするために必要な、マルチバイト文字列の操作に使用される関数を提供する PHP 拡張機能です。

CVE-2020-7060 は積極的に悪用されていますか？

コードを調べて、疑わしい mbstring 関数の使用を削除または軽減し、ユーザー入力を検証してください。

CVE-2020-7060 に関する php の公式アドバイザリはどこで確認できますか？

PHP セキュリティアドバイザリで詳細情報を入手できます：https://www.php.net/security/7.4/7.4.2