Vulnérabilité dans PHP 7
Date de publication :
Une vulnérabilité a été découverte dans PHP 7. Un attaquant distant exploitant cette vulnérabilité peut provoquer une corruption de la mémoire du programme, menant à un déni de service, voire une exécution de code arbitraire.
CVE-2020-7065 [Score CVSS v3 : 7.4] : Une vulnérabilité de type corruption de mémoire a été découverte dans PHP. Un attaquant distant exploitant cette vulnérabilité peut provoquer une corruption de la mémoire en utilisant un bogue de la fonction mb_strtolower() impliquant des chaînes de caractères invalides, menant à un plantage du processus (déni de service), voire une potentielle exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Exécution de code arbitraire
Criticité
Score CVSS v3 : 7.4
Existence d’un code d’exploitation
Aucun code d’exécution n’est disponible publiquement pour l’instant, des étapes détaillées pour reproduire le dysfonctionnement sont cependant disponibles dans le rapport de bogue associé à la vulnérabilité.
Composants vulnérables
PHP 7.3 avant la version 7.3.16
PHP 7.4 avant la version 7.4.34
CVE
CVE-2020-7065
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour PHP vers une version non-vulnérable : 7.3.16 ou 7.4.34 selon la version intermédiaire utilisée
Solution de contournement
Aucune solution de contournement n’est disponible