PHP komponentidagi zaiflik Drupal, Joomla va Typo3 saytlarini xavf ostiga qo’yadi.
Katalogni aylanib o’tishdagi zaiflik veb-saytning qonuniy phar arxivini zararli arxiv bilan almashtirish imkonini beradi.
Drupal, Joomla va Typo3 kontentni boshqarish tizimlari tomonidan qo’llab-quvvatlanadigan veb-saytlar zararli kodlarning bajarilishiga zaifdir. Zaiflik Typo3 tomonidan ishlab chiqilgan ochiq kodli PHP komponenti PharStreamWrapperga ta’sir qiladi. CVE-2019-11831 – bu katalogni aylanib o’tish zaifligi bo’lib, u qonuniy saytning Phar arxivini zararli arxiv bilan almashtirish imkonini beradi. Phar arxivlari PHP dasturi yoki kutubxonasini bitta faylda saqlash uchun ishlatiladi.
Muammo xavfsizlik bo’yicha tadqiqotchi Daniel le Gall tomonidan aniqlandi. U zaiflikni jiddiy deb ta’rifladi, ammo Drupal uni «o’rtacha jiddiylik» deb baholadi. CVE-2019-11831, masalan, fevral oyida topilgan CVE-2019-6340 kabi xavfli emas va, albatta, mashhur Drupalgeddon kabi xavfli emas. Joomla ishlab chiquvchilari hatto zaiflikni past darajadagi deb baholadilar. Shunga qaramay, muammo saytlar uchun xavfsizlik xavfini tug’diradi va administratorlarga yangilanishlarni o’rnatish qat’iy tavsiya etiladi, deb ta’kidlaydi le Gall.
Drupal 8.7 versiyasi 8.7.1 ga, Drupal 8.6 va undan oldingi versiyalari 8.6.16 ga, Drupal 7 esa 7.67 ga yangilanishi kerak. Joomla uchun zaiflik 3.9.3 dan 3.9.5 gacha bo’lgan barcha versiyalarga ta’sir qiladi. 3.9.6 versiyasida tuzatish mavjud.
Typo3 ni ishga tushirayotgan sayt administratorlari PharStreamWapper ni qo’lda v3.1.1 va v2.1.1 ga yangilashlari yoki Composer bog’liqliklarining ushbu versiyalarga ko’tarilganligiga ishonch hosil qilishlari kerak.
