محققان امنیتی آسیبپذیری مهمی را در زبان برنامهنویسی PHP کشف کرده و کد بهرهبرداری را برای آن توسعه دادهاند. این زبان برنامهنویسی در توسعهی بسیاری از سیستمهای مدیریت محتوا مورد استفاده قرار میگیرد و این آسیبپذیری آنها را نیز تحت تاثیر قرار داده است. از جملهی این سیستمهای مدیریت محتوا میتوان وردپرس را نام برد. با وجود اینکه یک سال از گزارش این آسیبپذیری میگذرد ولی همچنان برطرف نشده است.
بهرهبرداری موفق از این آسیبپذیری وبسایتهای وردپرس و دیگر برنامههای کاربردی تحت وب را در معرض حملات اجرای کد از راه دور قرار میدهد. محققان اعلام کردند این آسیبپذیری در “phar://” stream wrapper وجود دارد که در مدیریت فایلهای پیچیده در پروتکلها و استایلهای مختلف URL به پیادهسازی کمک میکند. معمولا آرشیوهای Phar برای نگه داشتن برنامههای کاربردی self-extracting و یا self-contained مورد استفاده قرار میگیرند. بخشی از تابع این آرشیو با unserializing انجام میشود. بهعبارت دیگر زمانیکه عملگر فایل میخواهد به یک آرشیو دسترسی یابد، نیاز دارد که unserialized شود و یا از قالب یک رشتهی ساده به یک شیء بهطور خوکار تبدیل شود.
با این حال محققان اعلام کردند که در این فرآيند اشکالاتی وجود دارد و مهاجم میتواند حملات اجرای کد از راه دور انجام دهد. مهاجم میتواند یک فایل مخرب را در قالب فایل آرشیو درآورد که بهطور خودکار توسط برنامهی کاربردی اجرا خواهد شد. روند بهرهبرداری به ۲ مرحله تقسیم میشود. در مرحلهی اول مهاجم باید یک آرشیو Phar که حاوی تمامی بار دادههای مخرب است، در فایل سیستم محلی قربانی قرار دهد. در مرحلهی بعدی نیز باید عملیات فایل را بهگونه در مسیر phar:// انجام دهد که به فایل مورد نظر ارجاع داده شود.
این عملیات با استفاده از برخی آسیبپذیریهای سطح پایین XXE قابل انجام است. این آسیبپذیریها نیز نوعی از آسیبپذیریهای SSRF هستند که مهاجمان را از طریق برخی پارامترهای کماستفادهی XML به اجرای شرایط منع سرویس، دسترسی به فایلهای محلی و یا راه دور قادر میسازند. این آسیبپذیری در فوریهی سال ۲۰۱۷ میلادی گزارش شده ولی همچنان وصلهنشده باقی مانده است. علاوه بر وردپرس، این آسیبپذیری دیگر سیستمهای مدیریت محتوا مانند Typo3 و یک کتابخانهی تولید PDF با نام TCPDF را نیز تحت تاثیر قرار داده است. بروز چنین آسیبپذیریهایی اهمیت امنیت در پیادهسازی و کدها را بیش از پیش نمایان میکند.
