Dans la bibliothèque , qui fournit des gestionnaires pour se protéger contre par substitution de fichiers au format « Phar », (), qui vous permet de contourner la protection contre la désérialisation du code en remplaçant les caractères « .. » dans le chemin. Par exemple, un attaquant peut utiliser une URL telle que « phar:///path/bad.phar/../good.phar » pour une attaque, et la bibliothèque mettra en évidence le nom de base « /path/good.phar » lorsque vérification, bien que lors du traitement ultérieur d'un tel chemin, le fichier "/path/bad.phar" sera utilisé.
La bibliothèque a été développée par les créateurs du CMS TYPO3, mais est également utilisée dans les projets Drupal et Joomla, ce qui les rend également sensibles aux vulnérabilités. Problème résolu dans les versions . Le projet Drupal a résolu le problème dans les mises à jour 7.67, 8.6.16 et 8.7.1. Dans Joomla, le problème apparaît depuis la version 3.9.3 et a été corrigé dans la version 3.9.6. Pour résoudre le problème dans TYPO3, vous devez mettre à jour la bibliothèque PharStreamWapper.
D'un point de vue pratique, une vulnérabilité dans PharStreamWapper permet à un utilisateur de Drupal Core disposant des autorisations « Administrer le thème » de télécharger un fichier phar malveillant et de provoquer l'exécution du code PHP qu'il contient sous le couvert d'une archive phar légitime. Rappelons que l'essence de l'attaque « Désérialisation Phar » est que lors de la vérification des fichiers d'aide chargés de la fonction PHP file_exists(), cette fonction désérialise automatiquement les métadonnées des fichiers Phar (PHP Archive) lors du traitement des chemins commençant par « phar:// » . Il est possible de transférer un fichier phar sous forme d'image, puisque la fonction file_exists() détermine le type MIME par contenu, et non par extension.
Source: opennet.ru