Una vulnerabilità in a libreria PharStreamWrapper affetta Drupal, Joomla è Typo3

In biblioteca PharStreamWrapper, chì furnisce i manipulatori per pruteggiri di attacchi attraversu a sustituzione di u schedariu in u furmatu "Phar", identificatu vulnerabilità (CVE-2019-11831), chì permette di passà a prutezzione di deserializazione di codice sustituendu i caratteri ".." in a strada. Per esempiu, un attaccu pò utilizà un URL cum'è "phar:///path/bad.phar/../good.phar" per un attaccu, è a biblioteca mette in risaltu u nome di basa "/path/good.phar" quandu cuntrollà, ancu s'è durante u prucessu ulteriore di una tale strada U schedariu "/path/bad.phar" serà utilizatu.

A biblioteca hè stata sviluppata da i creatori di CMS TYPO3, ma hè ancu aduprata in prughjetti Drupal и Joomla, ciò chì li rende ancu vulnerabili. U prublema hè statu risoltu in e versioni PharStreamWrapper 2.1.1 è 3.1.1Prughjettu Drupal U prublema hè statu riparatu in l'aghjurnamenti 7.67, 8.6.16 è 8.7.1. Joomla U prublema hè statu prisente dapoi a versione 3.9.3 è hè statu riparatu in a versione 3.9.6. Per risolve u prublema in TYPO3, avete bisognu di aghjurnà a biblioteca PharStreamWapper.

Da un puntu di vista praticu, a vulnerabilità in PharStreamWapper permette à l'utilizatore Drupal Core, cù i privilegi di "Amministrà u tema", carica un schedariu phar maliziosu è esegue u codice PHP cuntenutu in ellu, travestitu da un archiviu phar legittimu. Cum'è ricordu, l'attaccu "deserializazione Phar" funziona deserializendu automaticamente i metadati da i schedari Phar (Archiviu PHP) quandu si verificanu i schedarii d'aiutu caricati per a funzione PHP file_exists() quandu si processanu percorsi chì cumincianu cù "phar://". U trasferimentu di un schedariu phar cum'è imagine hè pussibule, postu chì file_exists() determina u tipu MIME basatu annantu à u cuntenutu di u schedariu, micca a so estensione.

Source: opennet.ru

Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS 🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster