В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4.

Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists(). Данная особенность позволяет применить для эксплуатации технику «Phar deserialization«, манипулирующую автоматической десериализацией метаданных при обработке файлов Phar (PHP Archive). Атакующий имеет возможность задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists(), которая в случае указания URI «phar://» обработает метаданные в указанном файле.

Указав вместо редактора изображений ссылку на загруженный атакующим phar-файл можно осуществить подстановку нового объекта, выполняемого в контексте всего приложения. Например можно указать «phar:///var/www/phpBB3/files/evil.jpg», где evil.jpg — загруженный под видом картинки файл в формате phar, который будет разобран невзирая на расширение jpg. Похожая проблема может присутствовать и в других PHP-приложениях, допускающих загрузку на сервер картинок и обработку передаваемых пользователем файловых путей в таких функциях, как file_exists(), fopen(), file_get_contents() и file().