Platform
php
Component
php
Opgelost in
7.3.13
7.4.1
CVE-2019-11049 is een dubbel-vrijgeven kwetsbaarheid in PHP op Windows. Door een fout bij het aanleveren van custom headers in lowercase aan de mail() functie, kan geheugen dubbel worden vrijgegeven. Dit kan leiden tot onvoorspelbaar gedrag of crashes. De kwetsbaarheid treft PHP versies 7.3.0 tot 7.4.1. De kwetsbaarheid is verholpen in versie 7.4.1.
CVE-2019-11049 treft PHP-versies 7.3.x onder 7.3.13 en 7.4.0 op Windows. Het komt voor wanneer aangepaste headers worden meegegeven aan de functie mail() en deze headers in kleine letters worden aangeleverd. Een fout in de code, geïntroduceerd in commit 78f4b4a2dcf92ddbccea1bb95f8390a18ac3342e, kan leiden tot een dubbele geheugen vrijgave, wat kan resulteren in applicatie crashes of zelfs de uitvoering van kwaadaardige code. De ernst van deze kwetsbaarheid wordt beoordeeld als 6.5 op de CVSS-schaal. De kwetsbaarheid is Windows-specifiek vanwege de manier waarop PHP headers op dat besturingssysteem behandelt. Het risico neemt toe als de webapplicatie de mail()-functie gebruikt om e-mails te verzenden en gebruikers de mogelijkheid geeft om de inhoud van de headers te controleren.
Deze kwetsbaarheid wordt uitgebuit door een e-mail te verzenden met aangepaste headers in kleine letters via de mail()-functie van PHP. Een aanvaller kan de headers manipuleren om een dubbele geheugen vrijgave te veroorzaken, wat potentieel de uitvoering van willekeurige code op de server kan mogelijk maken. Aangezien de kwetsbaarheid Windows-specifiek is, worden Linux-gebaseerde systemen niet getroffen. De waarschijnlijkheid van exploitatie hangt af van of de webapplicatie gebruikers de mogelijkheid geeft om de inhoud van e-mailheaders te controleren. Het ontbreken van een KEV geeft aan dat exploitatie complex is en een diepgaand begrip vereist van de interne werking van PHP.
Exploit Status
EPSS
2.80% (86% percentiel)
CVSS-vector
De oplossing om CVE-2019-11049 te mitigeren is om te upgraden naar een PHP-versie die de kwetsbaarheid heeft gepatcht. Specifiek wordt aanbevolen om te upgraden naar PHP 7.3.13 of hoger, of PHP 7.4.1 of hoger. Controleer bovendien de code van uw applicatie om ervoor te zorgen dat aangepaste headers niet op een onveilige manier worden gebruikt. Als een onmiddellijke update niet mogelijk is, implementeer dan invoervalidatie om ervoor te zorgen dat aangepaste headers in een veilig formaat worden verzonden, hoewel dit geen volledige oplossing is en een upgrade de meest aanbevolen maatregel is. Een KEV (Kernel Exploit Vulnerability) is niet beschikbaar voor deze kwetsbaarheid, wat betekent dat er geen bekende publieke exploits zijn, maar het is belangrijk om de correctie toe te passen om toekomstige aanvallen te voorkomen.
Actualice a PHP versión 7.3.13 o superior, o a la versión 7.4.1 o superior. Esto corrige la vulnerabilidad de doble liberación de memoria al usar la función mail() con encabezados personalizados en minúsculas en Windows.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
PHP-versies 7.3.x onder 7.3.13 en versie 7.4.0 op Windows zijn getroffen.
Controleer de geïnstalleerde PHP-versie op uw server. Als het een kwetsbare versie is, upgrade dan naar een gepatchte versie.
Ja, versies 7.3.13 en 7.4.1 of hoger bevatten de correctie voor deze kwetsbaarheid.
Implementeer invoervalidatie om ervoor te zorgen dat aangepaste headers in een veilig formaat worden verzonden, hoewel dit geen volledige oplossing is.
Hoewel er geen bekende publieke exploits zijn, wordt het aanbevolen om de correctie toe te passen om toekomstige aanvallen te voorkomen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.