Ninu ile-ikawe , eyi ti o pese awọn olutọju lati dabobo lodi si nipasẹ iyipada faili ni ọna kika "Phar", (), eyiti o fun ọ laaye lati fori koodu deserialization Idaabobo nipasẹ fidipo awọn ohun kikọ “..." ni ọna. Fun apẹẹrẹ, ikọlu le lo URL kan bi “phar:///path/bad.phar/.../good.phar” fun ikọlu kan, ati ile-ikawe yoo ṣe afihan orukọ ipilẹ “/path/good.phar” nigbati yiyewo, biotilejepe nigba siwaju processing ti iru a ona Faili "/path/bad.phar" yoo ṣee lo.
Библиотека разработана создателями CMS TYPO3, но также применяется в проектах Drupal и Joomla, что делает их также подверженными уязвимости. Проблема устранена в выпусках . Проект Drupal устранил проблему в обновлениях 7.67, 8.6.16 и 8.7.1. В Joomla проблема проявляется начиная с версии 3.9.3 и устранена в выпуске 3.9.6. Для устранения проблемы в TYPO3 требуется обновить библиотеку PharStreamWapper.
С практической стороны уязвимость в PharStreamWapper позволяет пользователю Drupal Core, имеющему полномочия администратора тем оформления (‘Administer theme’), загрузить вредоносный phar-файл и добиться выполнения размещённого в нём PHP-кода под видом легитимного phar-архива. Напомним, что суть атаки «Phar deserialization» в том, что при проверке загруженных файлов помощи PHP-функции file_exists(), эта функция автоматически выполняет десериализацию метаданных из файлов Phar (PHP Archive) при обработке путей, начинающихся с «phar://». Передача phar-файла возможна под видом картинки, так как функция file_exists() определяет MIME-тип по содержимому, а не по расширению.
orisun: opennet.ru
