Vulnerabilidad en el paquete PharStreamWrapper de TYPO3 (CVE-2019-11831)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
09/05/2019
Última modificación:
07/11/2023
Descripción
El paquete PharStreamWrapper (también conocido como phar-stream-wrapper), versiones 2.x anteriores a 2.1.1 y 3.x anteriores a 3.1.1 para TYPO3, no impide el salto de directorio, lo que permite a los atacantes eludir un mecanismo de protección de deserialización, como lo demuestra una URL phar:///path/bad.phar/../good.phar.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:typo3:pharstreamwrapper:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.1.1 (excluyendo) |
| cpe:2.3:a:typo3:pharstreamwrapper:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.1.1 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* | 7.0 (incluyendo) | 7.67 (excluyendo) |
| cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* | 8.6.0 (incluyendo) | 8.6.16 (excluyendo) |
| cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* | 8.7.0 (incluyendo) | 8.7.1 (excluyendo) |
| cpe:2.3:a:joomla:joomla\!:*:*:*:*:*:*:*:* | 3.9.3 (incluyendo) | 3.9.5 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/108302
- https://github.com/TYPO3/phar-stream-wrapper/releases/tag/v2.1.1
- https://github.com/TYPO3/phar-stream-wrapper/releases/tag/v3.1.1
- https://lists.debian.org/debian-lts-announce/2019/05/msg00029.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/65ODQHDHWR74L6TCAPAQR5FQHG6MCXAW/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6QDJVUJPUW3RZ4746SC6BX4F4T6ZXNBH/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AUEXS4HRI4XZ2DTZMWAVQBYBTFSJ34AR/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/E3NUKPG7V4QEM6QXRMHYR4ABFMW5MM2P/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/U6JX7WR6DPMKCZQP7EYFACYXSGJ3K523/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z246UWBXBEKTQUDTLRJTC7XYBIO4IBE4/
- https://seclists.org/bugtraq/2019/May/36
- https://typo3.org/security/advisory/typo3-psa-2019-007/
- https://www.debian.org/security/2019/dsa-4445
- https://www.drupal.org/sa-core-2019-007
- https://www.synology.com/security/advisory/Synology_SA_19_22