Recientemente se ha detectado una vulnerabilidad en PHP que afecta a versiones anteriores de PHP 7.4.4. Esta falla ha sido catalogada de riesgo alto y se ha reservado el CVE-2020-7066 para la misma, se da debido a que la función get_headers() (función que devuelve un array con las cabeceras enviadas por el servidor en respuesta a una petición HTTP) trunca silenciosamente los encabezados después de recibir un carácter de byte nulo (NULL). Un atacante remoto podría explotar esta falla para eludir las restricciones de seguridad implementadas en la aplicación, y así obtener información sensible o realizar inyección de datos en la aplicación.
A continuación un ejemplo de explotación de esta vulnerabilidad:
Recomendaciones:
Actualizar PHP a la última versión disponible, en este caso la 7.4.4, disponible en el siguiente enlace.
Referencias: