Vulnérabilité dans PHP 7

Date de publication :

Une vulnérabilité a été découverte dans PHP 7. Un attaquant distant exploitant cette vulnérabilité peut provoquer une corruption de la mémoire du programme, menant à un déni de service, voire une exécution de code arbitraire.

CVE-2020-7065 [Score CVSS v3 : 7.4] : Une vulnérabilité de type corruption de mémoire a été découverte dans PHP. Un attaquant distant exploitant cette vulnérabilité peut provoquer une corruption de la mémoire en utilisant un bogue de la fonction mb_strtolower() impliquant des chaînes de caractères invalides, menant à un plantage du processus (déni de service), voire une potentielle exécution de code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.4

Existence d’un code d’exploitation

  • Aucun code d’exécution n’est disponible publiquement pour l’instant, des étapes détaillées pour reproduire le dysfonctionnement sont cependant disponibles dans le rapport de bogue associé à la vulnérabilité.

Composants vulnérables

  • PHP 7.3 avant la version 7.3.16
  • PHP 7.4 avant la version 7.4.34

CVE

  • CVE-2020-7065

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour PHP vers une version non-vulnérable : 7.3.16 ou 7.4.34 selon la version intermédiaire utilisée

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens