بهروزرسانیهای منتشرشده برای دروپال و سیستمهای مدیریت محتوای متن باز TYPO3، آسیبپذیریهای مربوط به نحوهی مدیریت آرشیوهای Phar را وصله میکند. فرمت آرشیو Phar به توسعهدهندگان این امکان را میدهد تا همهی فایلهای یک برنامهی پیاچپی را داخل یک آرشیو واحد قرار دهند. با وجود اینکه فرمت Phar بسیار مفید است، اما سال گذشته پژوهشگری به نام سام توماس نشان داد که این فرمت ممکن است برای deserialization ناامن و اجرای کد دلخواه با پنهان کردن فایلهای Phar مخرب بهعنوان فایلهای متنی یا تصویری مورد سوءاستفاده قرار گیرد.
این نقص امنیتی یک ماه پس از افشای آن از طریق معرفی یک بازدارندهی stream wrapper Phar که برای اطمینان از وجود پسوند .phra در آرشیوهای Phar طراحی شده بود، توسط توسعهدهندگان TYPO3 رفع شده بود. بااینحال، پژوهشگران کشف کردهاند که راهکار محافظتی ارائهشده توسط بازدارندهی stream wrapper Phar که بهصورت متنباز منتشر شده بود، قابل دور زدن است. در مجموع، سه روش برای دور زدن شناسایی شده است که یکی از آنها در ماه اکتبر سال ۲۰۱۸ میلادی و دو روش دیگر نیز بهتازگی افشا شده است. این به این معنا است که عاملان مخرب همچنان میتوانند فایلهای Phar خاصی را بارگذاری و کد دلخواه را اجرا کنند.
توسعهدهندگان TYPO3 بیان کردند که این آسیبپذیریها نسخههای ۲٫۰٫۰-۲٫۱٫۰ و ۳٫۰٫۰-۳٫۱٫۰ بستهی stream wrapper را تحت تأثیر قرار میدهند و با انتشار نسخههای ۳٫۱٫۱ و ۲٫۱٫۱ رفع شدهاند. یکی از روشهای دور زدن که شامل مسألهی تغییر مسیر است و دروپال را نیز تحت تأثیر قرار داده است، از بازدارندهی TYPO3 استفاده میکند. توسعهدهندگان دروپال این آسیبپذیری را نسبتاً بحرانی ارزیابی کردهاند و با انتشار نسخههای ۷٫۶۷ , ۸٫۶٫۱۶ و ۸٫۷٫۱ وصله کردهاند.
این اولین بار نیست که دروپال بهروزرسانیهای طراحیشده برای جلوگیری از حملات مربوط به فایلهای Phar را منتشر کرده است. در ماه ژانویه، توسعهدهندگان اعلام کردند که .phar به فهرست پسوندهای خطرناک اضافه شده است و stream wrapper Phar بهطور پیشفرض برای وبگاههای دروپال ۷ که از نسخههای قبل از ۵٫۳٫۲ پیاچپی برای کاهش خطرات ذکرشده توسط پژوهشگران استفاده میکنند، غیرفعال شده است.
