CVE-2017-5630
LowSummary
W PECL w klasie narzędzia pobierania w Instalatorze w systemie bazowym PEAR w wersji 1.10.1 nie jest weryfikowany typ plików i nazwy plików po przekierowaniu, co pozwala zdalnym serwerom HTTP na nadpisywanie plików za pomocą odpowiednio skonstruowanych odpowiedzi, co zostało zademonstrowane przez nadpisanie pliku .htaccess.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego nadpisania plików na serwerze, co stwarza ryzyko utraty danych oraz potencjalnego przejęcia kontroli nad aplikacją. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność ich systemów.
Recommendation
Zaleca się aktualizację systemu PEAR do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wdrożyć mechanizmy weryfikacji typów plików i nazw plików w aplikacjach korzystających z tego systemu.
Original NVD description (English source)
PECL in the download utility class in the Installer in PEAR Base System v1.10.1 does not validate file types and filenames after a redirect, which allows remote HTTP servers to overwrite files via crafted responses, as demonstrated by a .htaccess overwrite.

