由于最近发现的开源漏洞，Drupal，Joomla和Typo3内容管理系统已经暴露于网络攻击。

该漏洞的代号为 CVE-2019-11831，基于由CMS公司Typo3开发的PharStreamWrapper开源PHP组件。

这个漏洞是由路径遍历错误引起的，使攻击者能够控制原始的Phar存档并将其替换为恶意版本。

正如PHP.net所 解释的那样，这些存档用于“在单个文件中分发完整的PHP应用程序或库”，并且“与任何其他PHP应用程序完全一样”。

计算AI和机器学习Live 2019标志

AI&Machine Learning Live将于2019年7月3日返回伦敦。听取Met Office的Charles Ewen，AutoTrader首席数据科学家David Hoyle博士和BBC的Noriko Matsuoka等人的讲话。资格认证的IT领导者和高级IT专业人员可以免费参加，但是地点有限，所以请立即保留。

美国国家标准与技术研究院写道：“对于TYPO3 3.1.1之前的2.1.1和3.x之前的PharStreamWrapper(又名phar-stream-wrapper)包2.x不会阻止目录遍历，这允许攻击者绕过反序列化保护机制，如phar：///path/bad.phar/../good.phar URL所示。“

周三，Drupal发布了一份安全咨询评级，评估该漏洞“中度危急”。CMS制造商表示，该漏洞影响其平台中的第三方库。

“为了拦截文件调用，例如file_exists或stat在受损的Phar档案中，必须先确定并检查基本名称，然后才允许PHP Phar流处理，”该公司表示。

“当前的实现容易受到路径遍历的影响，导致要评估的Phar存档不是实际(受损)文件的情况。”

为了缓解这个缺陷，Drupal建议：

如果您使用的是Drupal 8.7，请更新到Drupal 8.7.1

如果您使用的是Drupal 8.6或更早版本，请更新到Drupal 8.6.16。

如果您使用的是Drupal 7，请更新到Drupal 7.67。

Joomla还发布了一份安全公告，解释说：“在Joomla 3.9.3中，通过删除Joomla核心中的已知攻击向量来解决执行Phar档案时不安全反序列化的漏洞。

“为了拦截文件调用，例如file_exists或stat在受损的Phar存档上，必须先确定并检查基本名称，然后再允许PHP Phar流处理。

“然而，所使用的实现容易受到路径遍历的影响，导致要评估的Phar存档不是实际(受损)文件的情况。”

根据Joomla的说法，这个漏洞会影响CMS版本3.9.3到3.9.5。它建议用户尽快升级到版本3.9.6。

同时，Typo3 CMS的用户被建议升级到PharStreamWapper版本v3.1.1和v2.1.1以消除这个漏洞。