在图书馆 ,它提供了处理程序来防止 通过“Phar”格式的文件替换, (),它允许您通过替换路径中的“..”字符来绕过代码反序列化保护。 例如,攻击者可以使用“phar:///path/bad.phar/../good.phar”之类的 URL 进行攻击,并且库将突出显示基本名称“/path/good.phar”检查,尽管在进一步处理此类路径期间将使用文件“/path/bad.phar”。
该库由 CMS TYPO3 的创建者开发,但也用于 Drupal 和 Joomla 项目,这使得它们也容易受到漏洞的影响。 版本中修复的问题 。 Drupal 项目在更新 7.67、8.6.16 和 8.7.1 中修复了该问题。 在 Joomla 中,该问题从版本 3.9.3 开始出现,并在版本 3.9.6 中得到修复。 要修复 TYPO3 中的问题,您需要更新 PharStreamWapper 库。
实际上,PharStreamWapper 中的漏洞允许具有“管理主题”权限的 Drupal Core 用户上传恶意 phar 文件,并导致其中包含的 PHP 代码在合法 phar 存档的幌子下执行。 回想一下,“Phar 反序列化”攻击的本质是,在检查 PHP 函数 file_exists() 加载的帮助文件时,该函数在处理以“phar://”开头的路径时,会自动反序列化 Phar 文件(PHP Archive)中的元数据。 。 可以将 phar 文件作为图像传输,因为 file_exists() 函数根据内容而不是扩展名确定 MIME 类型。
来源: opennet.ru