Katalog CVE

CVE-2017-7189

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W PHP 7.x przed 2017-03-07 występuje błąd w analizie wywołań fsockopen, który może prowadzić do nieprawidłowego interpretowania adresów i portów. Na przykład, wywołanie fsockopen('127.0.0.1:80', 443) może być zinterpretowane jako 127.0.0.1:80:443, co później jest skracane do 127.0.0.1:80.

Ocena ryzyka

To zachowanie stwarza ryzyko bezpieczeństwa, ponieważ może prowadzić do niezamierzonych połączeń z niewłaściwymi portami, co może być wykorzystane przez atakujących.

Rekomendacja

Zaleca się aktualizację PHP do wersji po 2017-03-07, aby usunąć tę podatność oraz dokładne sprawdzenie wywołań fsockopen w aplikacjach korzystających z tej wersji.

Oryginalny opis (angielski, źródło NVD)

main/streams/xp_socket.c in PHP 7.x before 2017-03-07 misparses fsockopen calls, such as by interpreting fsockopen('127.0.0.1:80', 443) as if the address/port were 127.0.0.1:80:443, which is later truncated to 127.0.0.1:80. This behavior has a security risk if the explicitly provided port number (i.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS