HIGHCVE-2020-7062CVSS 7.5

PHPセッションアップロードの進捗におけるNULLポインタ逆参照

Q: php の CVE-2020-7062 による影響を受けていますか？

サーバーにインストールされている PHP のバージョンを確認してください。`phpinfo()` 関数を使用するか、ホスティングプロバイダーのドキュメントを参照できます。

Q: php の CVE-2020-7062 を修正するにはどうすればよいですか？

はい、一時的な軽減策として、`session.upload_progress.cleanup` を 1 に設定することができますが、パッチが適用されたバージョンにアップグレードすることを推奨します。

プラットフォーム

php

コンポーネント

php

修正版

7.2.28

7.3.15

7.4.3

AI Confidence: highNVDEPSS 1.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-7062は、PHPのファイルアップロード機能におけるNullポインタ参照の脆弱性です。この脆弱性を悪用されると、プログラムがクラッシュする可能性があります。影響を受けるのは7.2.28未満の7.2.x系、7.3.15未満の7.3.x系、および7.4.3未満の7.4.x系です。この問題はバージョン7.4.3で修正されています。

影響と攻撃シナリオ

CVE-2020-7062 は、PHP の 7.2.x (7.2.28 より前)、7.3.x (7.3.15 より前)、および 7.4.x (7.4.3 より前) のバージョンに影響を与えます。ファイルアップロード機能を使用しており、アップロードの進捗状況の追跡が有効になっている場合に発生します。session.upload_progress.cleanup が 0 (無効) に設定されている場合に問題が発生します。ファイルアップロードが失敗した場合、PHP は存在しない可能性のあるデータをクリーンアップしようとし、ヌルポインタの参照が発生します。これにより、アプリケーションがクラッシュし、サービス拒否につながる可能性があります。この脆弱性の CVSS スコアは 7.5 であり、中程度から高いリスクを示しています。特に、ファイルアップロードが重要な機能である環境では、リスクが高まります。

悪用の状況

この脆弱性は、脆弱な PHP サーバーに悪意のあるファイルアップロードリクエストを送信することで悪用されます。攻撃者はリクエストを操作してファイルアップロードの失敗を引き起こし、その結果、ヌルポインタの参照がトリガーされます。悪用には、アップロードの進捗状況の追跡が有効になっており、session.upload_progress.cleanup が無効になっている必要があります。悪用は直接リモートコードの実行を許可するものではありませんが、その結果生じるサービス拒否はサーバーの操作を中断し、ユーザーに影響を与える可能性があります。悪用の複雑さは比較的低いため、重大なリスクとなります。

リスク対象者翻訳中…

Web applications utilizing PHP versions 7.2.x below 7.2.28, 7.3.x below 7.3.15, and 7.4.x below 7.4.3, particularly those employing file upload functionality with progress tracking enabled, are at risk. Shared hosting environments running vulnerable PHP versions are also a significant concern.

検出手順翻訳中…

• linux / server:

journalctl -u php7.4 -g "Null Pointer Dereference"

• generic web:

curl -I https://your-php-application.com/upload.php | grep -i "PHP/7.4.2"

攻撃タイムライン

2020-02-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard79% まだ脆弱

EPSS

1.16% (78% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントphp

ベンダーPHP Group

影響範囲修正版

7.2.0 – 7.2.277.2.28

7.3.0 – 7.3.147.3.15

7.4.0 – 7.4.27.4.3

弱点分類 (CWE)

CWE-476

タイムライン

予約済み2020-01-15
公開日2020-02-27
更新日2024-09-16
EPSS 更新日2026-04-02

緩和策と回避策

CVE-2020-7062 の解決策は、修正が含まれている PHP バージョンにアップデートすることです。つまり、PHP 7.2.28 以降、PHP 7.3.15 以降、または PHP 7.4.3 以降にアップグレードすることです。即時のアップグレードが不可能な場合は、一時的な軽減策として、session.upload_progress.cleanup を 1 に設定して、アップロードの進捗状況のクリーンアップを有効にすることができます。ただし、この構成はパフォーマンスに影響を与える可能性があるため、パッチが適用されたバージョンにアップグレードすることを推奨します。影響を受ける PHP バージョンを使用しているすべてのシステムをレビューおよびアップデートし、この脆弱性の悪用を防ぐことが重要です。

修正方法翻訳中…

Actualice a la última versión de PHP. Específicamente, actualice a la versión 7.2.28 o superior, 7.3.15 o superior, o 7.4.3 o superior. Esto corrige la vulnerabilidad de desreferencia de puntero nulo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-7062 とは何ですか？（php の Unrestricted File Upload）

7.2.x (7.2.28 より前)、7.3.x (7.3.15 より前)、および 7.4.x (7.4.3 より前) のバージョンが脆弱です。

php の CVE-2020-7062 による影響を受けていますか？

サーバーにインストールされている PHP のバージョンを確認してください。phpinfo() 関数を使用するか、ホスティングプロバイダーのドキュメントを参照できます。

php の CVE-2020-7062 を修正するにはどうすればよいですか？

はい、一時的な軽減策として、session.upload_progress.cleanup を 1 に設定することができますが、パッチが適用されたバージョンにアップグレードすることを推奨します。

CVE-2020-7062 は積極的に悪用されていますか？

悪用は、サーバーの操作を中断するサービス拒否につながる可能性があります。

CVE-2020-7062 に関する php の公式アドバイザリはどこで確認できますか？

CVE ウェブサイトで詳細情報を入手できます: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7062