Ma ka waihona , e hāʻawi ana i nā mea lawelawe e pale aku ma o ka hoʻololi ʻana i nā faila ma ke ʻano "Phar", (), hiki iā ʻoe ke kāpae i ka pale deserialization code ma ke pani ʻana i nā huaʻōlelo ".." ma ke ala. No ka laʻana, hiki i ka mea hoʻouka ke hoʻohana i kahi URL e like me "phar:///path/bad.phar/../good.phar" no ka hoʻouka ʻana, a e hōʻike ka waihona i ka inoa kumu "/path/good.phar" i ka wā e nānā ana, ʻoiai i ka wā e hoʻoponopono hou ai i kēlā ala E hoʻohana ʻia ka faila "/path/bad.phar".
Ua hoʻomohala ʻia ka hale waihona puke e nā mea hana o ka CMS TYPO3, akā hoʻohana pū ʻia i nā papahana Drupal a me Joomla, kahi e hiki ai iā lākou ke maʻalahi i nā nāwaliwali. Hoʻopaʻa ʻia ka pilikia ma nā hoʻokuʻu . Ua hoʻoponopono ka papahana Drupal i ka pilikia ma nā mea hou 7.67, 8.6.16 a me 8.7.1. Ma Joomla ua ʻike ʻia ka pilikia mai ka mana 3.9.3 a ua hoʻopaʻa ʻia i ka hoʻokuʻu ʻana 3.9.6. No ka hoʻoponopono ʻana i ka pilikia ma TYPO3, pono ʻoe e hōʻano hou i ka waihona PharStreamWapper.
Ma ka ʻaoʻao kūpono, hiki i ka mea hoʻohana Drupal Core me ka 'Administer theme' nā ʻae e hoʻouka i kahi faila phar maikaʻi a hoʻokō i ka code PHP i loko o ia mea e hoʻokō ʻia ma lalo o ke ʻano o kahi waihona phar kūpono. E hoʻomanaʻo i ke kumu o ka hoʻouka kaua "Phar deserialization" i ka nānā ʻana i nā faila kōkua i hoʻouka ʻia o ka PHP function file_exists (), hoʻopau koke kēia hana i ka metadata mai nā faila Phar (PHP Archive) i ka wā e hoʻomaka ai nā ala e hoʻomaka me "phar: //" . Hiki ke hoʻololi i kahi faila phar ma ke ʻano he kiʻi, no ka mea, ʻo ka hana file_exists() e hoʻoholo i ke ʻano MIME ma ka ʻike, ʻaʻole ma ka hoʻonui.
Source: opennet.ru