Vulnérabilité dans PHP
Date de publication :
Une vulnérabilité a été découverte dans PHP, elle peut permettre à un attaquant de provoquer un déni de service.
CVE-2020-7062 [Score CVSS v3 : 7.5] : Dans PHP, une vulnérabilité existe lors de l’envoi d’un fichier. Si la fonction de suivi de progression est activée et que la valeur de session.upload_progress.cleanup est configurée à 0 (désactivé) et que l’envoi de fichier échoue, alors la procédure de chargement essayera d’effacer des données qui n’existent pas ce qui résulterait en un déréférencement de pointeur NULL. Un plantage du système suite à cela est très probable.
Un attaquant distant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP spécialement forgée et ainsi causer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Une preuve de concept est disponible publiquement
Composants vulnérables
- PHP versions 7.2.x antérieures à la 7.2.28
- PHP versions 7.3.x antérieures à la 7.3.15
- PHP versions 7.4.x antérieures à la 7.4.3
CVE
- CVE-2020-7062
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour PHP vers une version non vulnérable. Les versions 7.2.28, 7.3.15 et 7.4.3 ne sont pas affectées par cette vulnérabilité.
Solution de contournement
- Aucune solution de contournement n’est disponible