7.2.27
7.3.14
7.4.2
CVE-2020-7059 is een buffer overflow kwetsbaarheid in de fgetss() functie van PHP. Misbruik kan leiden tot het uitlezen van geheugen buiten de buffer, wat kan resulteren in informatieverlies of een crash van de applicatie. De kwetsbaarheid treft PHP versies 7.2.0 tot 7.4.2. Deze kwetsbaarheid is verholpen in PHP versie 7.4.2.
CVE-2020-7059 in PHP beïnvloedt versies 7.2.x vóór 7.2.27, 7.3.x vóór 7.3.14 en 7.4.x vóór 7.4.2. De kwetsbaarheid treedt op bij het gebruik van de functie fgetss() om gegevens te lezen met tagstripping ingeschakeld. Een aanvaller kan speciaal ontworpen gegevens aanleveren die ervoor zorgen dat fgetss() buiten de toegewezen buffer leest. Dit kan leiden tot informatieblootstelling (gevoelige gegevens worden onthuld) of een crash van de PHP-applicatie. De CVSS-score voor deze kwetsbaarheid is 6,5, wat een probleem van gemiddelde ernst aangeeft. De kern van het probleem ligt in de manier waarop fgetss() omgaat met tags en buffergrenzen, waardoor out-of-bounds leesbewerkingen mogelijk zijn onder specifieke omstandigheden.
De kwetsbaarheid wordt geactiveerd wanneer fgetss() aanvoeringsgegevens van een aanvaller ontvangt die tags bevatten die, wanneer ze worden verwerkt, ertoe leiden dat er buiten de toegewezen buffer wordt gelezen. Dit vereist dat de PHP-applicatie invoer accepteert die vervolgens wordt verwerkt met fgetss() en strip_tags(). Een succesvolle exploitatie kan een aanvaller in staat stellen vertrouwelijke gegevens uit het geheugen van de server te lezen, waaronder mogelijk wachtwoorden, API-sleutels of andere gevoelige informatie. De complexiteit van de exploitatie hangt af van de structuur van de invoergegevens en de PHP-serverconfiguratie.
Web applications relying on PHP versions 7.2.x, 7.3.x, or 7.4.x, particularly those that process user-supplied data with tag stripping enabled, are at risk. Shared hosting environments where multiple applications share the same PHP installation are also at increased risk, as a vulnerability in one application could potentially impact others.
• php: Examine PHP error logs for stack traces indicating buffer overflows or memory access violations when using fgetss() with tag stripping.
grep -i 'fgetss' /var/log/php_errors.log• linux / server: Monitor system resource usage (CPU, memory) for sudden spikes that could indicate a denial-of-service attack triggered by the vulnerability. Use top or htop to observe resource consumption.
• generic web: Inspect web application logs for unusual requests or error messages related to data processing or tag stripping. Use tools like tcpdump or Wireshark to analyze network traffic for suspicious patterns.
disclosure
Exploit Status
EPSS
2.37% (85% percentiel)
CVSS-vector
De meest effectieve mitigatie voor CVE-2020-7059 is het upgraden naar een gepatchte versie van PHP. Dit betekent het upgraden naar PHP 7.2.27 of hoger, PHP 7.3.14 of hoger, of PHP 7.4.2 of hoger. Als een onmiddellijke upgrade niet mogelijk is, beoordeel dan de code die fgetss() gebruikt om potentiële aanvalspunten te identificeren. Het implementeren van strenge invoervalidatie en -sanering kan helpen om exploitatie te voorkomen, hoewel het geen volledige oplossing is. Regelmatig serverlogboeken controleren op ongebruikelijk gedrag kan ook helpen bij het detecteren van exploitatiepogingen.
Actualice a la última versión de PHP. Si está utilizando las versiones 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando las versiones 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando las versiones 7.4.x, actualice a la versión 7.4.2 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
fgetss() is een PHP-functie die een regel leest van een datastroom en HTML-tags verwijdert. Het is handig om invoergegevens te reinigen, maar in dit geval is de implementatie kwetsbaar.
PHP-updates bevatten vaak kritieke beveiligingspatches. Updaten is de beste manier om uw applicatie te beschermen tegen bekende kwetsbaarheden zoals CVE-2020-7059.
Ja, er zijn alternatieve functies om regels van een datastroom te lezen, zoals fgets(), hoewel deze mogelijk extra verwerking vereisen om tags te verwijderen.
Controleer uw code op gebruik van fgetss() in kwetsbare PHP-versies. U kunt ook beveiligingsscanners gebruiken om kwetsbaarheden te detecteren.
Isoleer de getroffen server onmiddellijk, voer een grondige beveiligingsaudit uit en herstel vanuit een schone back-up.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.