一、漏洞信息
漏洞编号:CVE-2020-7060
漏洞归属组件:php
漏洞归属的版本:7.2.10
CVSS V3.0分值:
BaseScore:9.1 Critical
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞简述:
When using certain mbstring functions to convert multibyte encodings, in PHP versions 7.2.x below 7.2.27, 7.3.x below 7.3.14 and 7.4.x below 7.4.2 it is possible to supply data that will cause function mbfl_filt_conv_big5_wchar to read past the allocated buffer. This may lead to information disclosure or crash.
漏洞公开时间:
漏洞创建时间:2021-03-06 09:01:07
漏洞详情参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2020-7060
漏洞分析指导链接:
https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md
二、漏洞分析结构反馈
影响性分析说明:
当使用某些mbstring函数转换多字节编码时,在7.2.27以下的PHP版本7.2.x、7.3.14以下的7.3.x和7.4.2以下的7.4.x中,可能会提供数据导致函数mbfl_filt_conv_big5_wchar去读取已经分配的缓冲区。可能导致信息泄露或崩溃。
openEuler评分:
9.1
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
受影响版本排查(受影响/不受影响):
1.openEuler-20.09:受影响
2.openEuler-20.03-LTS:受影响
3.openEuler-20.03-LTS-Next:受影响
4.openEuler-20.03-LTS-SP1:受影响
5.mainline:不受影响