发布日期：2020-09-09
更新日期：2020-09-21

受影响系统：

PHP Group PHP 7.4.x <=version< 7.4.9
PHP Group PHP 7.3.x <=version<7.3.21
PHP Group PHP 7.2.x <=version< 7.3.21

描述：

---

CVE(CAN) ID: CVE-2020-7068

PHP（PHP：Hypertext Preprocessor，PHP：超文本预处理器）是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发，支持多种数据库及操作系统。
PHP 7.3.21之前的7.2.x 版本、7.3.21之前的7.3.x版本和7.4.9之前的7.4.x版本存在欺骗漏洞。攻击者可在使用phar扩展名处理PHAR文件时利用该漏洞欺骗phar_parse_zipfile访问释放的内存，导致程序崩溃或信息泄露。

<*链接：https://bugs.php.net/bug.php?id=79797
*>

建议：

---

厂商补丁：

PHP
---
PHP已经为此发布了一个安全公告（Sec Bug #79797）以及相应补丁:
Sec Bug #79797：Use of freed hash key in the phar_parse_zipfile function
链接：https://bugs.php.net/bug.php?id=79797

浏览次数：979
严重程度：0（网友投票）