В форумном движке phpBB3 обнаружена критическая уязвимость

В движке phpBB3 для администрирования форумов выявлена опасная уязвимость, с помощью которой злоумышленник, получив права администратора, может выполнить собственный код и перехватить контроль над сервером.

Проблема (CVE-2018-19274) связана с функций, позволяющей администраторам редактировать загруженные на форум изображения с помощью редактора Imagick. Для эксплуатации уязвимости злоумышленник должен разместить вредоносный файл на сервере и знать точный путь к нему. Атака осуществляется с использованием техники Phar deserialization (десериализация Phar), основанной на применении PHP-архивов формата .phar.

Атака предполагает несколько этапов: загрузку Phar-файла с вредоносным кодом на сервер (сделать это несложно, поскольку phpBB3 разрешает пользователям загрузку вложений к публикациям), изменение расширения файла, извлечение точного пути к файлу и, собственно, эксплуатацию уязвимости. Более подробно процесс описан здесь .

Разработчики устранили вышеуказанную уязвимость в версии phpBB 3.2.4. Для исправления проблемы была исключена возможность задавать абсолютные пути в администраторском разделе.