En biblioteko , kiu disponigas prizorgantojn por protekti kontraŭ per dosieranstataŭigo en la formato "Phar", (), kiu ebligas al vi preterpasi kodan deseriigan protekton anstataŭigante ".." signojn en la vojo. Ekzemple, atakanto povas uzi URL kiel "phar:///path/bad.phar/../good.phar" por atako, kaj la biblioteko reliefigos la bazan nomon "/path/good.phar" kiam kontrolado, kvankam dum plua prilaborado de tia vojo La dosiero "/path/bad.phar" estos uzata.
La biblioteko estis evoluigita fare de la kreintoj de la CMS TYPO3, sed ankaŭ estas uzita en Drupalo kaj Joomla projektoj, kio igas ilin ankaŭ susceptibles al vundeblecoj. Problemo riparita en eldonoj . La Drupalo-projekto riparis la problemon en ĝisdatigoj 7.67, 8.6.16 kaj 8.7.1. En Joomla la problemo aperas ekde versio 3.9.3 kaj estis riparita en eldono 3.9.6. Por solvi la problemon en TYPO3, vi devas ĝisdatigi la bibliotekon PharStreamWapper.
En la praktika flanko, vundebleco en PharStreamWapper permesas al uzanto de Drupal Core kun permesoj "Administri temon" alŝuti malican phar-dosieron kaj kaŭzi la PHP-kodon enhavitan en ĝi esti ekzekutita sub la alivestiĝo de legitima phar-arkivo. Memoru, ke la esenco de la atako "Phar deserialization" estas, ke kiam oni kontrolas la ŝarĝitajn helpdosierojn de la PHP-funkcio file_exists(), ĉi tiu funkcio aŭtomate seneriigas metadatenojn de Phar-dosieroj (PHP-Arkivo) kiam oni prilaboras vojojn komencantajn per "phar://" . Eblas transdoni phar-dosieron kiel bildon, ĉar la funkcio file_exists() determinas la MIME-tipo laŭ enhavo, kaj ne laŭ etendaĵo.
fonto: opennet.ru