Platform
php
Component
php
Opgelost in
7.2.27
7.3.14
7.4.2
CVE-2020-7060 is een buffer overflow kwetsbaarheid in de mbstring extensie van PHP. Door misbruik te maken van deze kwetsbaarheid kan een aanvaller mogelijk informatie lekken of een crash veroorzaken. De kwetsbaarheid treft PHP versies 7.2.0 tot 7.4.2. Een fix is beschikbaar in PHP versie 7.4.2.
CVE-2020-7060 treft PHP-versies 7.2.x vóór 7.2.27, 7.3.x vóór 7.3.14 en 7.4.x vóór 7.4.2. Het is een buffer over-read kwetsbaarheid die optreedt bij het gebruik van bepaalde mbstring-functies om multibyte-encoderingen te converteren. Specifiek kan de functie mbflfiltconvbig5wchar worden misleid om buiten de toegewezen buffer te lezen wanneer er kwaadaardige gegevens worden aangeboden. Dit kan leiden tot informatieblootstelling (gevoelige gegevens worden uit het geheugen gelezen) of een crash van de applicatie. Het risico is matig, met een CVSS-score van 6.5. Het updaten van PHP naar een gepatchte versie is cruciaal om dit risico te beperken.
De kwetsbaarheid wordt uitgebuit door zorgvuldig samengestelde gegevens aan de multibyte-encoderingconversiefuncties binnen mbstring te verstrekken. Deze gegevens kunnen via verschillende bronnen worden geïnjecteerd, zoals gebruikersinvoer, geüploade bestanden of omgevingsvariabelen. Een aanvaller kan deze kwetsbaarheid misbruiken om vertrouwelijk informatie uit het geheugen van de server te lezen, zoals wachtwoorden, API-sleutels of sessiedata. In sommige gevallen kan de exploitatie leiden tot remote code execution, hoewel dit minder waarschijnlijk is. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om de invoergegevens te controleren en de interne werking van de mbstring-functies te begrijpen.
Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.
• linux / server:
journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"• php:
Check PHP version: php -v
• generic web:
Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.
disclosure
Exploit Status
EPSS
6.40% (91% percentiel)
CVSS-vector
De meest effectieve oplossing om CVE-2020-7060 aan te pakken, is het updaten naar een PHP-versie die de fix bevat. Dit betekent het upgraden naar PHP 7.2.27 of hoger, PHP 7.3.14 of hoger, of PHP 7.4.2 of hoger. Als een onmiddellijke update niet mogelijk is, beoordeel dan uw broncode om het gebruik van mbstring-functies te identificeren en te elimineren die kwetsbaar kunnen zijn voor deze fout. Implementeer bovendien beveiligingsbest practices, zoals invoervalidatie en -sanering, om het aanvalsoppervlak te verkleinen. Een update is de beste aanpak en moet prioriteit krijgen.
Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
PHP-versies 7.2.x vóór 7.2.27, 7.3.x vóór 7.3.14 en 7.4.x vóór 7.4.2 zijn kwetsbaar.
Controleer de geïnstalleerde PHP-versie op uw server. U kunt de opdracht php -v in de opdrachtregel gebruiken of de configuratie van uw webserver controleren.
mbstring is een PHP-extensie die functies biedt voor het werken met multibyte-strings, die nodig zijn om verschillende tekencoderingen zoals UTF-8 te ondersteunen.
Bekijk uw code om het gebruik van verdachte mbstring-functies te verwijderen of te verzachten en valideer gebruikersinvoer.
U kunt meer informatie vinden in de PHP-beveiligingsbulletin: https://www.php.net/security/7.4/7.4.2
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.