CVE-2017-5630
NiskieStreszczenie
W PECL w klasie narzędzia pobierania w Instalatorze w systemie bazowym PEAR w wersji 1.10.1 nie jest weryfikowany typ plików i nazwy plików po przekierowaniu, co pozwala zdalnym serwerom HTTP na nadpisywanie plików za pomocą odpowiednio skonstruowanych odpowiedzi, co zostało zademonstrowane przez nadpisanie pliku .htaccess.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego nadpisania plików na serwerze, co stwarza ryzyko utraty danych oraz potencjalnego przejęcia kontroli nad aplikacją. Organizacje mogą być narażone na ataki, które mogą wpłynąć na integralność ich systemów.
Rekomendacja
Zaleca się aktualizację systemu PEAR do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wdrożyć mechanizmy weryfikacji typów plików i nazw plików w aplikacjach korzystających z tego systemu.
Oryginalny opis (angielski, źródło NVD)
PECL in the download utility class in the Installer in PEAR Base System v1.10.1 does not validate file types and filenames after a redirect, which allows remote HTTP servers to overwrite files via crafted responses, as demonstrated by a .htaccess overwrite.

