CVE-2020-28948

Опубликовано: 19 нояб. 2020

Источник: redhat

CVSS3: 7.8

EPSS Высокий

Описание

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

Отчет

PHP 7.2 and 7.3 marked End of Life at the time this CVE was released. There would be no patches made available for php-pear.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 6	php-pear	Out of support scope
Red Hat Enterprise Linux 8	php:7.2/php-pear	Will not fix
Red Hat Enterprise Linux 8	php:7.3/php-pear	Will not fix
Red Hat Software Collections	rh-php73-php-pear	Will not fix
Red Hat Enterprise Linux 7	php-pear	Fixed	RHSA-2022:7340	02.11.2022
Red Hat Enterprise Linux 8	php	Fixed	RHSA-2022:6542	15.09.2022
Red Hat Enterprise Linux 8.4 Extended Update Support	php	Fixed	RHSA-2022:6541	15.09.2022

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-502

https://bugzilla.redhat.com/show_bug.cgi?id=1904001Archive_Tar: allows an unserialization attack because phar: is blocked but PHAR: is not blocked

EPSS

Процентиль: 99%

0.74454

Высокий

7.8 High

CVSS3

Связанные уязвимости

CVE-2020-28948

CVSS3: 7.8

ubuntu

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

CVE-2020-28948

CVSS3: 7.8

nvd

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

CVE-2020-28948

CVSS3: 7.8

debian

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because ph ...

GHSA-jh5x-hfhg-78jq

CVSS3: 7.8

github

около 4 лет назад

Deserialization of Untrusted Data in Archive_Tar

BDU:2021-03621

CVSS3: 8.8

fstec

больше 4 лет назад

Уязвимость функции _maliciousFilename класса Archive_Tar библиотеки PHP классов PEAR, позволяющая нарушителю выполнить произвольный PHP-код

EPSS

Процентиль: 99%

0.74454

Высокий

7.8 High

CVSS3