Plataforma
php
Componente
php
Corrigido em
7.3.16
7.4.4
A vulnerabilidade CVE-2020-7065 refere-se a um buffer overflow na função mb_strtolower() do PHP quando usada com codificação UTF-32LE. Certas strings inválidas podem levar o PHP a sobrescrever um buffer alocado na stack, resultando em corrupção de memória, falhas e potencial execução de código. As versões afetadas são as 7.3.0 até 7.3.16 e 7.4.0 até 7.4.4. A correção foi implementada na versão 7.4.4.
A vulnerabilidade CVE-2020-7065 afeta aplicações PHP que utilizam a função mb_strtolower() com a codificação UTF-32LE e processam strings maliciosas. Um atacante poderia injetar strings especialmente construídas, contendo caracteres inválidos para essa codificação, que, ao serem processadas pela função, resultariam em uma sobrescrita de buffer alocado na pilha (stack). Essa sobrescrita pode levar à corrupção da memória, travamentos da aplicação PHP e, em cenários mais graves, à execução de código arbitrário no servidor. O risco é particularmente alto em aplicações web que recebem entrada do usuário (formulários, parâmetros de URL, etc.) e a processam sem validação adequada. Dados sensíveis armazenados no servidor, como credenciais de usuários, informações de configuração e dados de banco de dados, podem estar em risco caso a execução de código seja bem-sucedida. O raio de impacto (blast radius) é potencialmente alto, dependendo das permissões do usuário sob o qual o processo PHP está sendo executado e da arquitetura da aplicação. Um atacante com acesso a essa vulnerabilidade poderia comprometer a integridade e confidencialidade do sistema, além de potencialmente obter controle total sobre o servidor.
Atualmente, não há relatos públicos de exploração ativa (KEV - Known Exploitation) da vulnerabilidade CVE-2020-7065. A ausência de Proof-of-Concept (PoC) publicamente disponíveis dificulta a avaliação precisa do risco imediato. No entanto, a possibilidade de corrupção de memória e execução de código torna a vulnerabilidade significativa e requer atenção. A falta de exploração pública não significa que a vulnerabilidade seja inofensiva; ela pode ser explorada por atacantes com conhecimento técnico avançado ou pode ser descoberta e explorada no futuro. Portanto, a aplicação da correção é altamente recomendada para mitigar o risco potencial. A urgência da correção é considerada alta devido à natureza da vulnerabilidade e à possibilidade de exploração futura.
Status do Exploit
EPSS
5.02% (percentil 90%)
Vetor CVSS
A correção para CVE-2020-7065 é a atualização para a versão 7.4.4 ou superior do PHP. Se a atualização imediata não for possível, uma medida paliativa (workaround) é evitar o uso da função mb_strtolower() com a codificação UTF-32LE, optando por outras codificações ou implementando uma validação rigorosa das strings de entrada antes de passá-las para a função. A sequência de atualização deve seguir as práticas recomendadas para o ambiente específico, incluindo a realização de backups e testes em um ambiente de homologação antes da aplicação em produção. Após a atualização, é crucial verificar se a vulnerabilidade foi corrigida com sucesso, por exemplo, através de testes automatizados de segurança ou revisando os logs do sistema em busca de tentativas de exploração. É recomendável monitorar continuamente o sistema para detectar qualquer atividade suspeita relacionada à vulnerabilidade.
Actualice a PHP versión 7.3.16 o superior, o a la versión 7.4.4 o superior. Esto corregirá la vulnerabilidad de desbordamiento de búfer en la función mb_strtolower con codificación UTF-32LE.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-7065 is a vulnerability in PHP where the mb_strtolower() function, when used with UTF-32LE encoding and certain invalid strings, can lead to a stack buffer overflow.
You are affected if you are running PHP versions 7.3.x below 7.3.16 or 7.4.x below 7.4.4.
Upgrade to PHP 7.4.4 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2020-7065.
Refer to the National Vulnerability Database (NVD) entry at https://nvd.nist.gov/vuln/detail/CVE-2020-7065 and the PHP security advisory for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.