CVE-2020-7069 (CNNVD-202005-435)

MEDIUM
中文标题:
PHP 加密问题漏洞
英文标题:
Wrong ciphertext/tag in AES-CCM encryption for a 12 bytes IV
CVSS分数: 5.4
发布时间: 2020-10-02 14:14:45
漏洞类型: 加密问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.0版本、7.3.0版本和7.4.0版本中存在加密问题漏洞,该漏洞源于网络系统或产品未正确使用相关密码算法,导致内容未正确加密、弱加密、明文存储敏感信息等。

英文描述:

In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data.

CWE类型:
CWE-20 CWE-326
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
PHP Group PHP - < 7.3.23 - cpe:2.3:a:php_group:php:*:*:*:*:*:*:*:*
php php * - - cpe:2.3:a:php:php:*:*:*:*:*:*:*:*
fedoraproject fedora 31 - - cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
fedoraproject fedora 32 - - cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
fedoraproject fedora 33 - - cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
debian debian_linux 10.0 - - cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
opensuse leap 15.1 - - cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
opensuse leap 15.2 - - cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
canonical ubuntu_linux 12.04 - - cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:*
canonical ubuntu_linux 14.04 - - cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:*
canonical ubuntu_linux 16.04 - - cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
canonical ubuntu_linux 18.04 - - cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
canonical ubuntu_linux 20.04 - - cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*
netapp clustered_data_ontap - - - cpe:2.3:a:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*
oracle communications_diameter_signaling_router * - - cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:*
tenable tenable.sc * - - cpe:2.3:a:tenable:tenable.sc:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 x_refsource_MISC
cve.org
访问
FEDORA-2020-4573f0e03a vendor-advisory
cve.org
访问
FEDORA-2020-4fe6b116e5 vendor-advisory
cve.org
访问
FEDORA-2020-94763cb98b vendor-advisory
cve.org
访问
openSUSE-SU-2020:1703 vendor-advisory
cve.org
访问
USN-4583-1 vendor-advisory
cve.org
访问
openSUSE-SU-2020:1767 vendor-advisory
cve.org
访问
GLSA-202012-16 vendor-advisory
cve.org
访问
DSA-4856 vendor-advisory
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
CVSS评分详情
3.1 (cna)
MEDIUM
5.4
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
机密性
LOW
完整性
LOW
可用性
NONE
时间信息
发布时间:
2020-10-02 14:14:45
修改时间:
2024-09-17 04:04:37
创建时间:
2025-11-11 15:36:27
更新时间:
2025-11-11 15:56:08
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2020-7069 2025-11-11 15:20:41 2025-11-11 07:36:27
NVD nvd_CVE-2020-7069 2025-11-11 14:57:04 2025-11-11 07:44:50
CNNVD cnnvd_CNNVD-202005-435 2025-11-11 15:10:26 2025-11-11 07:56:08
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:56:08
vulnerability_type: 未提取 → 加密问题; cnnvd_id: 未提取 → CNNVD-202005-435; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 加密问题
  • cnnvd_id: 未提取 -> CNNVD-202005-435
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:44:50
affected_products_count: 3 → 16; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 3 -> 16
  • data_sources: ['cve'] -> ['cve', 'nvd']