Уязвимость в PHP-компоненте ставит под угрозы сайты на Drupal, Joomla и Typo3
Уязвимость обхода каталога позволяет заменить легитимный phar-архив сайта вредоносным.
Web-сайты, работающие на базе систем управления контентом Drupal, Joomla и Typo3, уязвимы к выполнению вредоносного кода. Уязвимость затрагивает разработанный Typo3 PHP-компонент PharStreamWrapper с открытым исходным кодом. CVE-2019-11831 представляет собой уязвимость обхода каталога (path-traversal), позволяющую заменить легитимный phar-архив сайта вредоносным. Phar-архив используется для хранения PHP-приложения или библиотеки в одном файле.
Проблему обнаружил исследователь безопасности Даниэль ле Галл (Daniel le Gall). По его словам, уязвимость является критической, однако в Drupal ее отметили как «средней критичности». CVE-2019-11831 не так опасна, как, например, обнаруженная в феврале CVE-2019-6340 , и, конечно же, ей далеко до печально известных Drupalgeddon . Разработчики Joomla и вовсе оценили опасность уязвимости как низкую. Тем не менее, проблема представляет угрозу безопасности сайтов, и администраторам настоятельно рекомендуется установить обновления, уверен ле Галл.
Drupal 8.7 нужно обновить до 8.7.1, Drupal 8.6 и более ранние версии – до 8.6.16, а Drupal 7 – до 7.67. В случае с Joomla уязвимость затрагивает все версии от 3.9.3 до 3.9.5 включительно. Исправление доступно в версии 3.9.6.
Администраторы сайтов под управлением Typo3 должны либо вручную обновить PharStreamWapper до v3.1.1 и v2.1.1, либо убедиться, что зависимости Composer подняты до этих версий.