A könyvtárban , amely kezelőket biztosít a védekezéshez a „Phar” formátumú fájlcserével, (), amely lehetővé teszi a kód deszerializációs védelem megkerülését a „..” karakterek helyettesítésével az elérési úton. Például egy támadó használhat egy URL-t, mint például a „phar:///path/bad.phar/../good.phar”, és a könyvtár kiemeli a „/path/good.phar” alapnevet, amikor ellenőrzése, bár egy ilyen elérési út további feldolgozása során a „/path/bad.phar” fájl kerül felhasználásra.
A könyvtárat a CMS TYPO3 megalkotói fejlesztették ki, de Drupal és Joomla projektekben is használják, így ezek is érzékenyek a sebezhetőségekre. A probléma javítva a kiadásokban . A Drupal projekt a 7.67, 8.6.16 és 8.7.1 frissítésekben javította a problémát. A Joomlában a probléma a 3.9.3-as verzió óta jelentkezik, és a 3.9.6-os kiadásban javították. A TYPO3 probléma megoldásához frissítenie kell a PharStreamWapper könyvtárat.
Gyakorlati szempontból a PharStreamWapper biztonsági rése lehetővé teszi a „Téma adminisztrációja” jogosultsággal rendelkező Drupal Core felhasználók számára, hogy rosszindulatú phar fájlt töltsenek fel, és az abban található PHP-kódot legitim phar-archívum leple alatt hajtsák végre. Emlékezzünk vissza, hogy a „Phar deserialization” támadás lényege, hogy a file_exists() PHP függvény betöltött súgófájljainak ellenőrzésekor ez a függvény automatikusan deszerializálja a Phar fájlokból származó metaadatokat (PHP Archívum), amikor a „phar://” karakterlánccal kezdődő útvonalakat dolgozza fel. . Lehetőség van phar fájl képként való átvitelére, mivel a file_exists() függvény tartalom szerint határozza meg a MIME típusát, nem pedig kiterjesztése szerint.
Forrás: opennet.ru