Di perpustakaan , yang menyediakan pengendali untuk melindungi daripada melalui penggantian fail dalam format "Phar", (), yang membolehkan anda memintas perlindungan penyahserialisasian kod dengan menggantikan aksara “..” dalam laluan. Sebagai contoh, penyerang boleh menggunakan URL seperti “phar:///path/bad.phar/../good.phar” untuk serangan dan pustaka akan menyerlahkan nama asas “/path/good.phar” apabila menyemak, walaupun semasa pemprosesan lanjut laluan sedemikian Fail "/path/bad.phar" akan digunakan.
Perpustakaan ini dibangunkan oleh pencipta CMS TYPO3, tetapi juga digunakan dalam projek Drupal и Joomla, yang menjadikan mereka juga terdedah. Isu ini telah dibetulkan dalam siaran Projek Drupal Memperbaiki isu dalam kemas kini 7.67, 8.6.16 dan 8.7.1. Joomla Isu ini telah wujud sejak versi 3.9.3 dan telah dibetulkan dalam keluaran 3.9.6. Untuk menyelesaikan isu dalam TYPO3, anda perlu mengemas kini pustaka PharStreamWapper.
Dari sudut praktikal, kerentanan dalam PharStreamWapper membolehkan pengguna Drupal Core, dengan keistimewaan 'Administer theme', memuat naik fail phar yang berniat jahat dan melaksanakan kod PHP yang terkandung di dalamnya, menyamar sebagai arkib phar yang sah. Sebagai peringatan, serangan "Phar deserialization" berfungsi dengan menyahsiri metadata secara automatik daripada fail Phar (Arkib PHP) semasa menyemak fail bantuan yang dimuat naik untuk fungsi PHP file_exists() semasa memproses laluan bermula dengan "phar://." Memindahkan fail phar sebagai imej adalah mungkin, kerana file_exists() menentukan jenis MIME berdasarkan kandungan fail, bukan sambungannya.
Sumber: opennet.ru
