Vulnérabilités dans PHP
Date de publication :
De multiples vulnérabilités ont été découvertes dans PHP. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service ou exécuter du code arbitraire
CVE-2020-7062 [Score CVSS v3 : 7.5] : Une vulnérabilité de type pointeur nul a été découverte dans PHP. Un attaquant distant exploitant cette vulnérabilité peut provoquer un plantage du programme via un envoi de fichier aboutissant à un échec, résultant en un déni de service. L’exploitation de cette vulnérabilité nécessite la désactivation de l’option “session.upload_progress.cleanup”.
CVE-2020-7065 [Score CVSS v3 : 7.4] : Une vulnérabilité de type corruption de mémoire a été découverte dans PHP. Un attaquant distant exploitant cette vulnérabilité peut provoquer un plantage du programme via une corruption de la mémoire en utilisant un bogue de la fonction “mb_strtolower”, résultant en un déni de service. Cette vulnérabilité peut également aboutir en une exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.5 maximum
Existence d’un code d’exploitation
- Des preuves de concept sont publiquement disponibles pour chacune des vulnérabilités
Composants vulnérables
-
CVE-2020-7062:
- PHP 7.2 avant la version 7.2.28
- PHP 7.3 avant la version 7.3.15
-
PHP 7.4 avant la version 7.4.3
-
CVE-2020-7065:
- PHP 7.3 avant la version 7.3.16
- PHP 7.4 avant la version 7.4.34
CVE
- CVE-2020-7062
- CVE-2020-7065
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour PHP vers une version non-vulnérable (voir la section “composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible