Multiples vulnérabilités dans PHP
Date de publication :
Plusieurs vulnérabilités PHP ont été dévoilées publiquement, elles peuvent permettre une fuite d’informations sensibles ou un déni de service.
CVE-2020-7060 [Score CVSS v3 : 6.5] : Une vulnérabilité de type dépassement de tampon a été découverte dans la bibliothèque libmbfl de PHP.
Un dépassement de tampon est un bogue par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des zones mémoires adjacentes. Ce type de vulnérabilité peut être exploité par un attaquant distant pour exécuter du code arbitraire ou réaliser un déni de service.
Dans le cas présent aucune information sur l’exploitabilité n’a été donnée.
CVE-2020-7059 [Score CVSS v3 : 6.5] : Une vulnérabilité de type dépassement de tampon a été découverte dans PHP. Aucune information sur le composant vulnérable ou l'exploitabilité n'a été donnée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risque
- Déni de service.
- Exécution de code arbitraire.
Criticité
- Score CVSS v3 : 6.5
Existence d’un code d‘exploitation
Des preuves de concept ont été publiées pour reproduire les bogues pour des raisons de tests mais aucun exploit malveillant n’a été publié.
Les liens vers les preuves de concept : CVE-2020-7060, CVE-2020-7059.
Composants vulnérables
- Versions PHP 7.2.x inférieurs à 7.2.27
- Versions PHP 7.3.x inférieurs à 7.3.14
- Versions PHP 7.4.x inférieurs à 7.4.2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour PHP vers les versions 7.2.27, 7.3.14 ou 7.4.2
Solution de contournement
- Aucune solution de contournement n’est disponible pour le moment