Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función substr_compare en HHVM (CVE-2020-1919)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125 Lectura fuera de límites
Fecha de publicación:
10/03/2021
Última modificación:
15/03/2021

Descripción

Unos cálculos de límites incorrectos en la función substr_compare podrían conllevar a una lectura fuera de límites cuando el segundo argumento de cadena pasado es más largo que el primero. Este problema afecta a HHVM versiones anteriores a 4.56.3, todas las versiones entre 4.57.0 y 4.80.1, todas las versiones entre 4.81.0 y 4.93.1 y las versiones 4.94.0, 4.95.0, 4.96.0, 4.97.0 , 4.98.0

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:facebook:hhvm:*:*:*:*:*:*:*:* 4.56.3 (excluyendo)
cpe:2.3:a:facebook:hhvm:*:*:*:*:*:*:*:* 4.57.0 (incluyendo) 4.80.2 (excluyendo)
cpe:2.3:a:facebook:hhvm:*:*:*:*:*:*:*:* 4.81.0 (incluyendo) 4.93.2 (excluyendo)
cpe:2.3:a:facebook:hhvm:4.94.0:*:*:*:*:*:*:*
cpe:2.3:a:facebook:hhvm:4.95.0:*:*:*:*:*:*:*
cpe:2.3:a:facebook:hhvm:4.96.0:*:*:*:*:*:*:*
cpe:2.3:a:facebook:hhvm:4.97.0:*:*:*:*:*:*:*
cpe:2.3:a:facebook:hhvm:4.98.0:*:*:*:*:*:*:*