Уязвимость в движке для создания форумов phpBB
В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4.
Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists. Данная особенность позволяет применить для эксплуатации технику "Phar deserialization". Атакующий может задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists.
Указав вместо редактора изображений ссылку на загруженный атакующим phar-файл можно осуществить подстановку нового объекта, выполняемого в контексте всего приложения. Например можно указать "phar:///var/www/phpBB3/files/evil.jpg", где evil.jpg - загруженный под видом картинки файл в формате phar, который будет разобран на основе содержимого, невзирая на расширение jpg.
