Ing perpustakaan , sing nyedhiyakake pawang kanggo nglindhungi liwat substitusi file ing format "Phar", (), sing ngidini sampeyan ngliwati proteksi deserialization kode kanthi ngganti karakter ".." ing dalan kasebut. Contone, panyerang bisa nggunakake URL kaya "phar:///path/bad.phar/../good.phar" kanggo serangan, lan perpustakaan bakal nyorot jeneng dhasar "/path/good.phar" nalika mriksa, sanajan sak Processing luwih saka path kuwi File "/path/bad.phar" bakal digunakake.
Perpustakaan iki dikembangake dening pencipta CMS TYPO3, nanging uga digunakake ing proyek Drupal lan Joomla, sing ndadekake dheweke uga rentan marang kerentanan. Masalah tetep ing rilis . Proyek Drupal ndandani masalah kasebut ing nganyari 7.67, 8.6.16 lan 8.7.1. Ing Joomla masalah katon wiwit versi 3.9.3 lan didandani ing release 3.9.6. Kanggo ndandani masalah ing TYPO3, sampeyan kudu nganyari perpustakaan PharStreamWapper.
Ing sisih praktis, kerentanan ing PharStreamWapper ngidini pangguna Drupal Core kanthi ijin 'Tema Administrator' kanggo ngunggah file phar angkoro lan nyebabake kode PHP sing ana ing kono dieksekusi kanthi kedok arsip phar sing sah. Elinga yen intine serangan "Phar deserialization" yaiku nalika mriksa file bantuan sing dimuat saka fungsi PHP file_exists (), fungsi iki kanthi otomatis deserializes metadata saka file Phar (Arsip PHP) nalika ngolah jalur sing diwiwiti karo "phar: //" . Sampeyan bisa nransfer file phar minangka gambar, wiwit file_exists () fungsi nemtokake jinis MIME dening isi, lan ora extension.
Source: opennet.ru