MEDIUMCVE-2020-7060CVSS 6.5

CVE-2020-7060：PHP mbstring缓冲区溢出漏洞（7.2.0-7.4.2）

Q: php 中的 CVE-2020-7060 是否会影响我？

检查服务器上安装的 PHP 版本。您可以使用命令行中的 `php -v` 命令或检查您的 Web 服务器配置。

平台

php

组件

php

修复版本

7.2.27

7.3.14

7.4.2

AI Confidence: highNVDEPSS 6.4%已审阅: 2026年4月

在NVD查看

保存

CVE-2020-7060是PHP中mbstring扩展库的一个缓冲区溢出漏洞，当使用某些mbstring函数转换多字节编码时，可能导致mbflfiltconvbig5wchar函数读取超出已分配的缓冲区。这可能导致敏感信息泄露或程序崩溃。该漏洞影响PHP 7.2.0到7.4.2版本。此问题已在PHP 7.4.2及更高版本中得到修复。

影响与攻击场景

CVE-2020-7060 影响 PHP 7.2.x 版本低于 7.2.27、7.3.x 版本低于 7.3.14 以及 7.4.x 版本低于 7.4.2。这是一种缓冲区读取漏洞（buffer over-read vulnerability），当使用某些 mbstring 函数转换多字节编码时会发生。具体来说，mbflfiltconvbig5wchar 函数在接收到恶意数据时，可能会被欺骗读取分配缓冲区之外的数据。这可能导致信息泄露（内存中读取敏感数据）或应用程序崩溃。风险等级为中等，CVSS 评分达到 6.5。为了减轻这种风险，必须将 PHP 更新到已修复的版本。

利用背景

该漏洞是通过向 mbstring 中的多字节编码转换函数提供精心设计的恶意数据来利用的。这些数据可以从各种来源注入，例如用户输入、上传的文件或环境变量。攻击者可以利用此漏洞读取服务器内存中的敏感信息，例如密码、API 密钥或会话数据。在某些情况下，利用可能导致远程代码执行，但这不太可能发生。利用的复杂性取决于攻击者控制输入数据以及理解 mbstring 函数内部工作原理的能力。

哪些人处于风险中翻译中…

Web applications utilizing PHP versions 7.2.0–7.2.26, 7.3.0–7.3.13, and 7.4.0–7.4.1 are at risk. This includes websites, web services, and any application relying on PHP for processing user input or handling multibyte character encodings. Shared hosting environments running vulnerable PHP versions are particularly susceptible.

检测步骤翻译中…

• linux / server:

journalctl -u php7.4 -g "mbfl_filt_conv_big5_wchar" --since "1 week ago"

• php: Check PHP version: php -v • generic web: Inspect web server error logs for PHP crashes or memory allocation errors related to mbstring functions.

攻击时间线

2020-02-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard79% 仍然脆弱

EPSS

6.40% (91% 百分位)

CVSS 向量

受影响的软件

组件php

供应商PHP Group

影响范围修复版本

7.2.0 – 7.2.267.2.27

7.3.0 – 7.3.137.3.14

7.4.0 – 7.4.17.4.2

弱点分类 (CWE)

CWE-125

时间线

已保留2020-01-15
发布日期2020-02-10
修改日期2024-09-17
EPSS 更新日期2026-04-02

缓解措施和替代方案

解决 CVE-2020-7060 最有效的解决方案是将 PHP 更新到包含修复程序的版本。这意味着升级到 PHP 7.2.27 或更高版本、PHP 7.3.14 或更高版本或 PHP 7.4.2 或更高版本。如果无法立即更新，请检查您的源代码，以识别并消除可能容易受到此漏洞影响的 mbstring 函数的使用。此外，实施安全最佳实践，例如输入验证和清理，以减少攻击面。更新是最佳实践，应优先考虑。

修复方法翻译中…

Actualice a la última versión de PHP. Si está utilizando PHP 7.2.x, actualice a la versión 7.2.27 o superior. Si está utilizando PHP 7.3.x, actualice a la versión 7.3.14 o superior. Si está utilizando PHP 7.4.x, actualice a la versión 7.4.2 o superior.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2020-7060 是什么 — php 中的 Information Disclosure？

PHP 7.2.x 版本低于 7.2.27、7.3.x 版本低于 7.3.14 以及 7.4.x 版本低于 7.4.2 受到影响。

php 中的 CVE-2020-7060 是否会影响我？

检查服务器上安装的 PHP 版本。您可以使用命令行中的 php -v 命令或检查您的 Web 服务器配置。

如何修复 php 中的 CVE-2020-7060？

mbstring 是一个 PHP 扩展，它提供用于处理多字节字符串的函数，这些函数对于支持诸如 UTF-8 之类的不同字符编码是必需的。

CVE-2020-7060 是否正在被积极利用？

检查您的代码，以删除或减轻可疑的 mbstring 函数的使用，并验证用户输入。

在哪里可以找到 php 关于 CVE-2020-7060 的官方安全通告？

您可以在 PHP 安全公告中找到更多信息：https://www.php.net/security/7.4/7.4.2