# Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
Новостной_робот (mira, 1) → All – 21:00:02 2019-05-10
В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar"; и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar".
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=50665
Новостной_робот (mira, 1) → All – 21:00:02 2019-05-10
В библиотеке PharStreamWrapper, предоставляющей обработчики для защиты от проведения атак через подстановку файлов в формате "Phar", выявлена уязвимость (CVE-2019-11831), позволяющая обойти защиту от десериализации кода через подстановку символов ".." в пути. Например, атакующий может использовать для атаки URL вида "phar:///path/bad.phar/../good.phar"; и библиотека выделит при проверке базовое имя "/path/good.phar", хотя при дальнейшей обработке подобного пути будет использован файл "/path/bad.phar".
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=50665