Дар китобхона , ки коркардкунандагонро муҳофизат мекунад тавассути иваз кардани файл дар формати "Phar", (), ки ба шумо имкон медиҳад, ки бо иваз кардани аломатҳои ".." дар роҳ муҳофизати бесериализатсияи кодро аз байн баред. Масалан, ҳамлакунанда метавонад URL-и "phar:///path/bad.phar/../good.phar"-ро барои ҳамла истифода барад ва китобхона ҳангоми ҳамла номи асосиро "/path/good.phar" таъкид мекунад. тафтиш, гарчанде ки ҳангоми коркарди минбаъдаи чунин роҳ Файли "/path/bad.phar" истифода мешавад.
Китобхона аз ҷониби созандагони CMS TYPO3 таҳия шудааст, аммо инчунин дар лоиҳаҳои Drupal ва Joomla истифода мешавад, ки ин онҳоро низ ба осебпазирӣ дучор мекунад. Масъала дар нашрияҳо ҳал карда шудааст . Лоиҳаи Drupal ин масъаларо дар навсозиҳои 7.67, 8.6.16 ва 8.7.1 ҳал кард. Дар Joomla мушкилот аз версияи 3.9.3 пайдо мешавад ва дар версияи 3.9.6 ислоҳ карда шуд. Барои ислоҳ кардани мушкилот дар TYPO3, шумо бояд китобхонаи PharStreamWapper-ро навсозӣ кунед.
Аз ҷониби амалӣ, осебпазирӣ дар PharStreamWapper ба корбари Drupal Core бо иҷозати "Идораи мавзӯъ" имкон медиҳад, ки файли зарароварро бор кунад ва коди PHP-и дар он мавҷудбударо зери ниқоби бойгонии қонунии phar иҷро кунад. Ёдовар мешавем, ки моҳияти ҳамлаи "Phar deserialization" дар он аст, ки ҳангоми тафтиши файлҳои ёрирасони функсияи PHP file_exists(), ин функсия ба таври худкор метамаълумотро аз файлҳои Phar (Archive PHP) ҳангоми коркарди роҳҳое, ки аз "phar://" сар мешаванд, ғайрисериягӣ мекунад. . Интиқоли файли phar ҳамчун тасвир имконпазир аст, зеро функсияи file_exists() навъи MIME-ро аз рӯи мундариҷа муайян мекунад, на аз рӯи васеъ.
Манбаъ: opennet.ru