Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01677

Опубликовано: 17 мар. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции mb_strtolower () при использовании кодировки UTF-32LE интерпретатора языка программирования PHP связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

PHP Group
АО «ИВК»

Наименование ПО

PHP
Альт 8 СП

Версия ПО

от 7.3.0 до 7.3.16 (PHP)
от 7.4.0 до 7.4.34 (PHP)
- (Альт 8 СП)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://bugs.php.net/bug.php?id=79371
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.0878
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-7065

CVSS3: 7.4
ubuntu
около 5 лет назад

In PHP versions 7.3.x below 7.3.16 and 7.4.x below 7.4.4, while using mb_strtolower() function with UTF-32LE encoding, certain invalid strings could cause PHP to overwrite stack-allocated buffer. This could lead to memory corruption, crashes and potentially code execution.

redhat логотип

CVE-2020-7065

CVSS3: 8.8
redhat
около 5 лет назад

In PHP versions 7.3.x below 7.3.16 and 7.4.x below 7.4.4, while using mb_strtolower() function with UTF-32LE encoding, certain invalid strings could cause PHP to overwrite stack-allocated buffer. This could lead to memory corruption, crashes and potentially code execution.

nvd логотип

CVE-2020-7065

CVSS3: 7.4
nvd
около 5 лет назад

In PHP versions 7.3.x below 7.3.16 and 7.4.x below 7.4.4, while using mb_strtolower() function with UTF-32LE encoding, certain invalid strings could cause PHP to overwrite stack-allocated buffer. This could lead to memory corruption, crashes and potentially code execution.

debian логотип

CVE-2020-7065

CVSS3: 7.4
debian
около 5 лет назад

In PHP versions 7.3.x below 7.3.16 and 7.4.x below 7.4.4, while using ...

github логотип

GHSA-hpqg-gp78-43q4

github
около 3 лет назад

In PHP versions 7.3.x below 7.3.16 and 7.4.x below 7.4.34, while using mb_strtolower() function with UTF-32LE encoding, certain invalid strings could cause PHP to overwrite stack-allocated buffer. This could lead to memory corruption, crashes and potentially code execution.

EPSS

Процентиль: 92%
0.0878
Низкий

8.8 High

CVSS3

10 Critical

CVSS2