Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en HP-UX Web Server Suite Software PHP de HPE

Múltiples vulnerabilidades en HP-UX Web Server Suite Software PHP de HPE

Fecha de publicación: 
04/12/2020
Importancia: 
5 - Crítica
Recursos afectados: 

HP-UX Web Server Suite Software PHP, versión 7.2.1.1.

Descripción: 

Hewlett Packard Enterprise y HPE Product Security Response Team han identificado un total de 13 vulnerabilidades, 2 de severidad crítica, 5 altas y 6 medias, que permitirían a un atacante, local o remoto, omitir restricciones de seguridad, divulgar información y corromper la memoria.

Solución: 

Actualizar el producto afectado a la versión PHP 7.4.7.1 para HP-UX Release B.11.31.

Detalle: 
  • Cuando se utiliza la función fgetss() para leer datos con limpieza de etiquetas (stripping tags), en varias versiones de PHP sería posible suministrar datos que harían que esta función leyese más allá del búfer asignado. Esto podría llevar a la revelación de información o a un bloqueo. Se ha asignado el identificador CVE-2020-7059 para esta vulnerabilidad crítica.
  • Cuando se utilizan ciertas funciones mbstring para convertir codificaciones multibyte, en varias versiones de PHP sería posible suministrar datos que harían que la función mbfl_filt_conv_big5_wchar leyese más allá del búfer asignado. Esto podría llevar a la divulgación de la información o a un bloqueo. Se ha asignado el identificador CVE-2020-7060 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los siguientes identificadores: CVE-2020-7067, CVE-2019-11048, CVE-2020-7066, CVE-2020-7064, CVE-2019-11046, CVE-2019-11044, CVE-2019-11045, CVE-2019-11050, CVE-2019-11047, CVE-2019-11042 y CVE-2019-11041.

Encuesta valoración