Уязвимост в библиотеката PharStreamWrapper, засягаща Drupal, Joomla и Typo3

В библиотеката PharStreamWrapper, който предоставя манипулатори за защита срещу от атака чрез заместване на файл във формат "Phar", идентифицирани уязвимост (CVE-2019 11831-), което ви позволява да заобиколите защитата от десериализация на код чрез заместване на знаци „..“ в пътя. Например, атакуващият може да използва URL като „phar:///path/bad.phar/../good.phar“ за атака и библиотеката ще подчертае основното име „/path/good.phar“, когато проверка, въпреки че по време на по-нататъшна обработка на такъв път ще се използва файлът "/path/bad.phar".

Библиотеката е разработена от създателите на CMS TYPO3, но се използва и в проекти на Drupal и Joomla, което ги прави също податливи на уязвимости. Проблемът е коригиран в версиите PharStreamWrapper 2.1.1 и 3.1.1. Проектът Drupal коригира проблема в актуализации 7.67, 8.6.16 и 8.7.1. В Joomla проблемът се появява от версия 3.9.3 и е коригиран във версия 3.9.6. За да коригирате проблема в TYPO3, трябва да актуализирате библиотеката на PharStreamWapper.

От практическа страна, уязвимостта в PharStreamWapper позволява на потребител на Drupal Core с разрешения за „Администриране на темата“ да качи злонамерен phar файл и да накара съдържащия се в него PHP код да бъде изпълнен под прикритието на легитимен phar архив. Спомнете си, че същността на атаката „Phar десериализация“ е, че при проверка на заредените помощни файлове на PHP функцията file_exists(), тази функция автоматично десериализира метаданни от Phar файлове (PHP архив), когато обработва пътища, започващи с „phar://“ . Възможно е да прехвърлите phar файл като изображение, тъй като функцията file_exists() определя типа MIME по съдържание, а не по разширение.

Източник: opennet.ru