mbstring 関係の関数で HTML エンティティを含むユニコード文字列を変換をした場合に buffer overflow を起こす可能性があるそうです。

• 影響を受けるバージョン: PHP 4.3.0 以降、PHP 5.0.0 以降
• 修正されたバージョン: PHP 5.2.7 および PHP 5.3.0 alpha 3(PHP 4 系は既にメンテナンスは終了していますので、修正されません)

以下の関数でエンコーディングに HTML-ENTITIES を指定している場合は危険です。

• mb_convert_encoding()
• mb_check_encoding()
• mb_convert_variables()
• mb_parse_str()

php.ini などで以下の設定している場合は特に危険です。

mbstring.encoding_translation=on
mbstring.http_input=HTML-ENTITIES
mbstring.internal_encoding=UTF-8

とりあえず、エンコーディングに HTML-ENTITIES を使用しなければ問題ないと思います。

• 参考
  • [Full-disclosure] CVE-2008-5557 - PHP mbstring buffer overflow vulnerability