PHP Fileinfo组件file 缓冲区溢出漏洞 CVE-2014-9652 CNNVD-201502-162
5.0
AV
AC
AU
C
I
A
发布:
2015-03-30
修订:
2017-07-01
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言;Fileinfo是其中的一个用于显示文件属性并支持批量修改其属性的组件。file是软件开发者Christos Zoulas所负责维护的一套用于类Unix系统下查看文件格式的工具。 PHP的Fileinfo组件中使用的file 5.20及之前版本的softmagic.c文件中的‘mconvert’函数存在安全漏洞,该漏洞源于程序复制截断的Pascal字符串时,没有正确处理特定的‘string-length’字段。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务(越边界内存访问和应用程序崩溃)。以下版本受到影响:PHP 5.4.36及之前版本,5.5.21之前5.5.x版本,5.6.5之前5.6.x版本。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有48条受影响产品信息
