Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
PHP
(5.4.0, 5.4.32, 5.5.0, 5.5.16)
Описание
Уязвимость существует в gd_ctx.c компонента GD в PHP из-за присутствия в именах путей последовательностей %00. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, перезаписывать произвольные файлы при помощи специально сформированных входных данных, которые вызывают функцию imagegd, imagegd2, imagegif, imagejpeg, imagepng, imagewbmp или imagewebp.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
Источник: CVE
Наименование: CVE-2014-5120
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5120
http://php.net/ChangeLog-5.php#5.4.32
http://php.net/ChangeLog-5.php#5.5.16
Наименование: CVE-2014-5120
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5120
http://php.net/ChangeLog-5.php#5.4.32
http://php.net/ChangeLog-5.php#5.5.16