PT-2020-5865 · Php+9 · Php+9
Publicado
2020-04-27
·
Atualizado
2025-08-11
·
CVE-2020-7069
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do PHP 7.2.x anteriores à 7.2.34
Versões do PHP 7.3.x anteriores à 7.3.23
Versões do PHP 7.4.x anteriores à 7.4.11
Descrição:
O problema está relacionado à função
openssl encrypt() no PHP quando usada com o modo AES-CCM e um vetor de inicialização (IV) de 12 bytes. Apenas os primeiros 7 bytes do IV são efetivamente utilizados, o que pode levar à redução da segurança e à criptografia incorreta dos dados. Isso pode permitir que um invasor remoto acesse e comprometa dados confidenciais.Recomendações:
Para versões do PHP 7.2.x anteriores à 7.2.34, atualize para a versão 7.2.34 ou posterior.
Para versões do PHP 7.3.x anteriores à 7.3.23, atualize para a versão 7.3.23 ou posterior.
Para versões do PHP 7.4.x anteriores à 7.4.11, atualize para a versão 7.4.11 ou posterior.
Como solução temporária, considere evitar o uso da função
openssl encrypt() com o modo AES-CCM e IV de 12 bytes até que um patch esteja disponível. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração.Exploit
Correção
Inadequate Encryption Strength
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Php
Red Hat
Rocky Linux
Suse
Ubuntu