CVE-2020-7067

Опубликовано: 10 апр. 2020

Источник: redhat

CVSS3: 5.9

EPSS Низкий

Описание

In PHP versions 7.2.x below 7.2.30, 7.3.x below 7.3.17 and 7.4.x below 7.4.5, if PHP is compiled with EBCDIC support (uncommon), urldecode() function can be made to access locations past the allocated memory, due to erroneously using signed numbers as array indexes.

Отчет

This affects php running only on platforms using EBCDIC encoding, as versions of Red Hat Enteprise Linux uses ASCII encoding all php versions shipped with it are not vulnerable to this flaw.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 5	php	Not affected
Red Hat Enterprise Linux 5	php53	Not affected
Red Hat Enterprise Linux 6	php	Not affected
Red Hat Enterprise Linux 7	php	Not affected
Red Hat Enterprise Linux 8	php:7.2/php	Not affected
Red Hat Enterprise Linux 8	php:7.3/php	Not affected
Red Hat Software Collections	rh-php72-php	Not affected
Red Hat Software Collections	rh-php73-php	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-125

https://bugzilla.redhat.com/show_bug.cgi?id=1827653php: out-of-bounds read when using a malformed url-encoded string

EPSS

Процентиль: 93%

0.09983

Низкий

5.9 Medium

CVSS3

Связанные уязвимости

CVE-2020-7067

CVSS3: 7.5

ubuntu

около 5 лет назад

CVE-2020-7067

CVSS3: 7.5

nvd

около 5 лет назад

CVE-2020-7067

CVSS3: 7.5

debian

около 5 лет назад

In PHP versions 7.2.x below 7.2.30, 7.3.x below 7.3.17 and 7.4.x below ...

GHSA-8hqm-3r2c-qg9c

CVSS3: 7.5

github

около 3 лет назад

BDU:2020-05806

CVSS3: 7.5

fstec

около 5 лет назад

Уязвимость функции urldecode() интерпретатора языка программирования PHP, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к защищаемой информации

EPSS

Процентиль: 93%

0.09983

Низкий

5.9 Medium

CVSS3