mb_strtolower (UTF-32LE): php_unicode_tolower_full でのスタックバッファオーバーフロー

PHPのmbstrtolower()関数をUTF-32LEエンコーディングで使用する際、特定の無効な文字列が入力されると、PHPがスタックに割り当てられたバッファを上書きする脆弱性です。攻撃者は、意図的に不正なUTF-32LEエンコードされた文字列をmbstrtolower()関数に渡すことで、この脆弱性を悪用できます。これにより、メモリ破壊、プログラムのクラッシュ、そして最悪の場合、リモートコード実行（RCE）につながる可能性があります。特に、Webアプリケーションでユーザーからの入力を処理する際に、この関数を使用している場合、攻撃者が制御するデータが入力されると、深刻な影響を受けるリスクがあります。影響を受けるシステムでは、機密情報が漏洩したり、システムが乗っ取られたりする可能性があります。この脆弱性の影響範囲は、PHPが実行されているWebサーバー全体に及ぶ可能性があり、Webアプリケーションの信頼性と可用性に重大な影響を与える可能性があります。攻撃者は、この脆弱性を利用して、Webサーバー上のファイルを改ざんしたり、悪意のあるコードを実行したり、機密情報を盗み出す可能性があります。

1. 予約済み2020-01-15
2. 公開日2020-04-01
3. 更新日2024-09-17
4. EPSS 更新日2026-04-02

この脆弱性に対処するためには、PHPのバージョンを7.3.16以降、または7.4.4以降にアップグレードすることを強く推奨します。アップグレードが直ちに実行できない場合は、mbstrtolower()関数の使用を避け、代替手段を使用するか、入力データの検証を厳密に行うことで、脆弱性の悪用を軽減できます。入力データの検証には、UTF-32LEエンコーディングの文字列が予期される形式と一致することを確認する処理を含める必要があります。アップグレード後、システムが正常に動作することを確認するために、徹底的なテストを実施してください。特に、mbstrtolower()関数を使用している箇所を重点的にテストし、脆弱性が修正されていることを確認する必要があります。パッチ適用後、セキュリティスキャンツールを使用して、脆弱性が完全に修正されていることを確認することを推奨します。アップグレードの順序は、テスト環境で検証してから本番環境に適用することを推奨します。