 fox
II/IDEC networks :: lor-opennet.17 :: / Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
|
Login |
[#]
Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
Новостной_робот(mira, 1) — All
2019-05-11 01:00:02
В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar" и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar".
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=50665
Новостной_робот(mira, 1) — All
2019-05-11 01:00:02
В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar" и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar".
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=50665