Àìlera kan nínú ìkàwé PharStreamWrapper ní ipa lórí Drupal, Joomla àti Typo3

Ninu ile-ikawe PharStreamWrapper, eyi ti o pese awọn olutọju lati dabobo lodi si dani awọn ikọlu nipasẹ iyipada faili ni ọna kika "Phar", mọ ailagbara (CVE-2019-11831), eyiti o fun ọ laaye lati fori koodu deserialization Idaabobo nipasẹ fidipo awọn ohun kikọ “..." ni ọna. Fun apẹẹrẹ, ikọlu le lo URL kan bi “phar:///path/bad.phar/.../good.phar” fun ikọlu kan, ati ile-ikawe yoo ṣe afihan orukọ ipilẹ “/path/good.phar” nigbati yiyewo, biotilejepe nigba siwaju processing ti iru a ona Faili "/path/bad.phar" yoo ṣee lo.

Библиотека разработана создателями CMS TYPO3, но также применяется в проектах Drupal и Joomla, что делает их также подверженными уязвимости. Проблема устранена в выпусках PharStreamWrapper 2.1.1 ati 3.1.1. Проект Drupal устранил проблему в обновлениях 7.67, 8.6.16 и 8.7.1. В Joomla проблема проявляется начиная с версии 3.9.3 и устранена в выпуске 3.9.6. Для устранения проблемы в TYPO3 требуется обновить библиотеку PharStreamWapper.

С практической стороны уязвимость в PharStreamWapper позволяет пользователю Drupal Core, имеющему полномочия администратора тем оформления (‘Administer theme’), загрузить вредоносный phar-файл и добиться выполнения размещённого в нём PHP-кода под видом легитимного phar-архива. Напомним, что суть атаки «Phar deserialization» в том, что при проверке загруженных файлов помощи PHP-функции file_exists(), эта функция автоматически выполняет десериализацию метаданных из файлов Phar (PHP Archive) при обработке путей, начинающихся с «phar://». Передача phar-файла возможна под видом картинки, так как функция file_exists() определяет MIME-тип по содержимому, а не по расширению.

orisun: opennet.ru

Ra alejo gbigba igbẹkẹle fun awọn aaye pẹlu aabo DDoS, awọn olupin VPS VDS 🔥 Ra gbigbalejo oju opo wẹẹbu ti o gbẹkẹle pẹlu aabo DDoS, awọn olupin VPS VDS | ProHoster