In der Bibliothek , das Handlern zum Schutz bietet durch Dateiersetzung im „Phar“-Format, (), wodurch Sie den Code-Deserialisierungsschutz umgehen können, indem Sie „..“-Zeichen im Pfad ersetzen. Beispielsweise kann ein Angreifer eine URL wie „phar:///path/bad.phar/../good.phar“ für einen Angriff verwenden, und die Bibliothek hebt dabei den Basisnamen „/path/good.phar“ hervor Überprüfung, obwohl bei der weiteren Verarbeitung eines solchen Pfades die Datei „/path/bad.phar“ verwendet wird.
Die Bibliothek wurde von den Machern des CMS TYPO3 entwickelt, wird aber auch in Drupal- und Joomla-Projekten verwendet, was diese ebenfalls anfällig für Schwachstellen macht. Problem in Releases behoben . Das Drupal-Projekt hat das Problem in den Updates 7.67, 8.6.16 und 8.7.1 behoben. In Joomla tritt das Problem seit Version 3.9.3 auf und wurde in Release 3.9.6 behoben. Um das Problem in TYPO3 zu beheben, müssen Sie die PharStreamWapper-Bibliothek aktualisieren.
Auf der praktischen Seite ermöglicht eine Schwachstelle in PharStreamWapper einem Drupal Core-Benutzer mit der Berechtigung „Theme verwalten“ das Hochladen einer schädlichen Phar-Datei und die Ausführung des darin enthaltenen PHP-Codes unter dem Deckmantel eines legitimen Phar-Archivs. Denken Sie daran, dass der Kern des „Phar-Deserialisierungs“-Angriffs darin besteht, dass diese Funktion beim Überprüfen der geladenen Hilfedateien der PHP-Funktion file_exists() automatisch Metadaten aus Phar-Dateien (PHP-Archiv) deserialisiert, wenn Pfade verarbeitet werden, die mit „phar://“ beginnen. . Es ist möglich, eine Phar-Datei als Bild zu übertragen, da die Funktion file_exists() den MIME-Typ anhand des Inhalts und nicht anhand der Erweiterung bestimmt.
Source: opennet.ru