Bibliotēkā , kas nodrošina apstrādātājus, lai aizsargātu pret izmantojot failu aizstāšanu “Phar” formātā, (), kas ļauj apiet koda deserializācijas aizsardzību, ceļā aizstājot rakstzīmes “.”. Piemēram, uzbrucējs uzbrukumam var izmantot URL, piemēram, “phar:///path/bad.phar/../good.phar”, un bibliotēka izcels pamatnosaukumu “/path/good.phar”, kad pārbaudot, lai gan šāda ceļa turpmākās apstrādes laikā tiks izmantots fails "/path/bad.phar".
Bibliotēku izstrādāja CMS TYPO3 veidotāji, bet tā tiek izmantota arī Drupal un Joomla projektos, kas padara tos arī jutīgus pret ievainojamībām. Problēma ir novērsta laidienos . Drupal projekts šo problēmu atrisināja atjauninājumos 7.67, 8.6.16 un 8.7.1. Programmā Joomla problēma parādās kopš versijas 3.9.3, un tā tika novērsta 3.9.6 laidienā. Lai novērstu TYPO3 problēmu, jums ir jāatjaunina PharStreamWapper bibliotēka.
Runājot par praktisko pusi, PharStreamWapper ievainojamība ļauj Drupal Core lietotājam ar motīvu administrēšanas atļaujām augšupielādēt ļaunprātīgu phar failu un izraisīt tajā esošā PHP koda izpildi, aizsedzot likumīgu phar arhīvu. Atgādiniet, ka “Phar deserializācijas” uzbrukuma būtība ir tāda, ka, pārbaudot PHP funkcijas file_exists() ielādētos palīdzības failus, šī funkcija automātiski deserializē metadatus no Phar failiem (PHP arhīvs), apstrādājot ceļus, kas sākas ar “phar://”. . Phar failu var pārsūtīt kā attēlu, jo funkcija file_exists() nosaka MIME tipu pēc satura, nevis pēc paplašinājuma.
Avots: opennet.ru