Platform
php
Component
php
Opgelost in
7.3.16
7.4.4
CVE-2020-7065 is een stack buffer overflow kwetsbaarheid in de mb_strtolower() functie van PHP bij gebruik van UTF-32LE encoding. Misbruik van deze kwetsbaarheid kan leiden tot geheugen corruptie, crashes en mogelijk het uitvoeren van code. De kwetsbaarheid treft PHP versies 7.3.0 tot 7.4.4. Deze kwetsbaarheid is verholpen in PHP versie 7.4.4.
CVE-2020-7065 is een kwetsbaarheid in PHP die misbruikt kan worden door kwaadwillenden die UTF-32LE encoding gebruiken in combinatie met de mbstrtolower() functie. Een aanvaller kan speciaal ontworpen, ongeldige strings aan de functie doorgeven. Deze strings kunnen ervoor zorgen dat PHP een buffer overschrijft die op de stack is gealloceerd. Dit buffer overflow kan leiden tot geheugencorruptie, applicatie crashes en, in het ergste geval, code execution (RCE). De ernst van de impact hangt af van de privileges van de PHP-processen. Als de PHP-applicatie met hoge privileges draait (bijvoorbeeld als root of administrator), kan een succesvolle exploit leiden tot volledige systeemcompromittering. Zelfs bij lagere privileges kan een aanvaller mogelijk gevoelige informatie blootleggen of de beschikbaarheid van de applicatie verstoren. Het risico is het grootst in omgevingen waar gebruikersinvoer direct wordt gebruikt in de mbstrtolower() functie zonder adequate validatie of sanitatie. Denk hierbij aan formulieren, zoekvelden of andere invoervelden waar UTF-32LE encoding mogelijk is. De blast radius is afhankelijk van de configuratie van de webserver en de applicatie, maar kan potentieel de gehele serveromgeving omvatten.
Op het moment van schrijven zijn er geen publiekelijk beschikbare exploitrapporten (KEV) bekend voor CVE-2020-7065. Dit betekent dat er momenteel geen actieve uitbuiting in de wild wordt waargenomen. Echter, het ontbreken van publieke exploits betekent niet dat de kwetsbaarheid niet misbruikt kan worden. Het is mogelijk dat kwaadwillenden de kwetsbaarheid al in privé gebruiken of dat ze nog bezig zijn met het ontwikkelen van een exploit. Gezien de potentiële impact van code execution, is het belangrijk om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te verhelpen. Het is aan te raden om de kwetsbaarheid te monitoren en op de hoogte te blijven van eventuele nieuwe ontwikkelingen op het gebied van exploits.
Exploit Status
EPSS
5.02% (90% percentiel)
CVSS-vector
Om deze kwetsbaarheid te verhelpen, is het essentieel om uw PHP-versie te updaten naar een versie die de bug heeft verholpen. Voor PHP 7.3 is dit versie 7.3.16 of hoger, en voor PHP 7.4 is dit versie 7.4.4 of hoger. Het is sterk aanbevolen om direct te upgraden naar de meest recente stabiele versie van PHP. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het vermijden van het gebruik van mb_strtolower() met UTF-32LE encoding. Dit kan door de encoding te wijzigen naar een veiliger alternatief, zoals UTF-8, of door de invoer te valideren en ongeldige UTF-32LE strings te filteren. Na het toepassen van de update of workaround, is het belangrijk om de applicatie grondig te testen om te verifiëren dat de kwetsbaarheid is verholpen en dat er geen onverwachte bijwerkingen zijn ontstaan. Controleer de applicatielogboeken op ongebruikelijke activiteiten na de update om te verzekeren dat de fix effectief is.
Actualice a PHP versión 7.3.16 o superior, o a la versión 7.4.4 o superior. Esto corregirá la vulnerabilidad de desbordamiento de búfer en la función mb_strtolower con codificación UTF-32LE.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-7065 is a vulnerability in PHP where the mb_strtolower() function, when used with UTF-32LE encoding and certain invalid strings, can lead to a stack buffer overflow.
You are affected if you are running PHP versions 7.3.x below 7.3.16 or 7.4.x below 7.4.4.
Upgrade to PHP 7.4.4 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2020-7065.
Refer to the National Vulnerability Database (NVD) entry at https://nvd.nist.gov/vuln/detail/CVE-2020-7065 and the PHP security advisory for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.