Yn 'e bibleteek , dat jout handlers te beskermjen tsjin troch triemferfanging yn it "Phar"-formaat, (), wêrtroch jo koade-deserialisaasjebeskerming kinne omgean troch ".."-tekens yn it paad te ferfangen. Bygelyks, in oanfaller kin in URL brûke lykas "phar:///path/bad.phar/../good.phar" foar in oanfal, en de bibleteek sil de basisnamme "/path/good.phar" markearje as kontrolearje, hoewol by fierdere ferwurking fan sa'n paad De triem "/path/bad.phar" sil brûkt wurde.
De bibleteek is ûntwikkele troch de makkers fan it CMS TYPO3, mar wurdt ek brûkt yn Drupal- en Joomla-projekten, wêrtroch se ek gefoelich binne foar kwetsberens. Kwestje fêst yn releases . It Drupal-projekt hat it probleem repareare yn updates 7.67, 8.6.16 en 8.7.1. Yn Joomla ferskynt it probleem sûnt ferzje 3.9.3 en waard repareare yn release 3.9.6. Om it probleem yn TYPO3 op te lossen, moatte jo de PharStreamWapper-bibleteek bywurkje.
Oan 'e praktyske kant lit in kwetsberens yn PharStreamWapper in Drupal Core-brûker mei tagongsrjochten 'Tema administrearje' in kwea-aardich phar-bestân uploade en feroarsaakje dat de PHP-koade dêryn befette wurdt útfierd ûnder it mom fan in legitimearre phar-argyf. Tink derom dat de essinsje fan 'e oanfal "Phar-deserialisaasje" is dat by it kontrolearjen fan de laden helpbestannen fan 'e PHP-funksje file_exists(), dizze funksje automatysk metadata fan Phar-bestannen (PHP-argyf) deserialisearret by it ferwurkjen fan paden dy't begjinne mei "phar://" . It is mooglik om in phar-bestân as ôfbylding oer te setten, om't de funksje file_exists() it MIME-type bepaalt troch ynhâld, en net troch útwreiding.
Boarne: opennet.ru