A la biblioteca , que proporciona controladors per protegir-se mitjançant la substitució de fitxers en el format "Phar", (), que us permet evitar la protecció contra la deserialització del codi substituint els caràcters "..." al camí. Per exemple, un atacant pot utilitzar un URL com "phar:///path/bad.phar/../good.phar" per a un atac, i la biblioteca destacarà el nom base "/path/good.phar" quan comprovació, encara que durant el processament posterior d'aquest camí S'utilitzarà el fitxer "/path/bad.phar".
La biblioteca va ser desenvolupada pels creadors del CMS TYPO3, però també s'utilitza en projectes. Drupal и Joomla, cosa que també els fa vulnerables. El problema s'ha solucionat a les versions Projecte Drupal S'ha corregit el problema a les actualitzacions 7.67, 8.6.16 i 8.7.1. Joomla El problema ha estat present des de la versió 3.9.3 i es va solucionar a la versió 3.9.6. Per solucionar el problema a TYPO3, cal actualitzar la biblioteca PharStreamWapper.
Des d'un punt de vista pràctic, la vulnerabilitat de PharStreamWapper permet a l'usuari Drupal Core, amb privilegis d'"Administrar tema", carrega un fitxer phar maliciós i executa el codi PHP que conté, disfressat d'un arxiu phar legítim. Com a recordatori, l'atac de "deserialització Phar" funciona deserialitzant automàticament les metadades dels fitxers Phar (arxiu PHP) quan es comproven els fitxers d'ajuda carregats per a la funció PHP file_exists() quan es processen rutes que comencen per "phar://". La transferència d'un fitxer phar com a imatge és possible, ja que file_exists() determina el tipus MIME en funció del contingut del fitxer, no de la seva extensió.
Font: opennet.ru
