Di perpustakaan , nu nyadiakeun pawang ngajaga ngalawan ngaliwatan substitusi file dina format "Phar", (), nu ngidinan Anjeun pikeun bypass kode panyalindungan deserialization ku ngaganti ".." karakter dina jalur. Salaku conto, panyerang tiasa nganggo URL sapertos "phar:///path/bad.phar/../good.phar" kanggo serangan, sareng perpustakaan bakal nyorot nami dasar "/path/good.phar" nalika mariksa, najan salila ngolah salajengna tina jalur sapertos File "/path/bad.phar" bakal dipaké.
Perpustakaan ieu dikembangkeun ku panyipta CMS TYPO3, tapi ogé dianggo dina proyék Drupal sareng Joomla, anu ngajantenkeun aranjeunna ogé rentan ka vulnerabilities. Isu dibereskeun dina release . Proyék Drupal ngalereskeun masalah dina apdet 7.67, 8.6.16 sareng 8.7.1. Dina Joomla masalah mucunghul saprak versi 3.9.3 sarta dibereskeun dina release 3.9.6. Pikeun ngalereskeun masalah dina TYPO3, anjeun kedah ngapdet perpustakaan PharStreamWapper.
Dina sisi praktis, kerentanan dina PharStreamWapper ngamungkinkeun pamaké Drupal Core kalawan 'Administer theme' idin pikeun unggah file phar jahat sarta ngabalukarkeun kode PHP anu dikandung dina eta bisa dieksekusi dina kedok arsip phar sah. Émut yén hakekat serangan "Phar deserialization" nyaéta nalika mariksa file pitulung anu dimuat tina fungsi PHP file_exists (), fungsi ieu otomatis deserializes metadata tina file Phar (Arsip PHP) nalika ngolah jalur anu dimimitian ku "phar: //" . Kasebut nyaéta dimungkinkeun pikeun mindahkeun file phar salaku hiji gambar, saprak file_exists () fungsi nangtukeun jenis MIME ku eusi, teu ku extension.
sumber: opennet.ru