Nome do software vulnerável e versões afetadas:

TYPO3 (versões afetadas não especificadas)

Descrição:

O problema diz respeito à deserialização insegura durante a execução de arquivos Phar. Essa vulnerabilidade pode ser explorada quando são utilizados dados não confiáveis, permitindo o abuso da lógica da aplicação. Um novo interceptador, o PharStreamWrapper, foi introduzido para proteger contra possíveis vulnerabilidades em componentes de terceiros. No entanto, verificou-se que os manipuladores de exceções e erros em aplicativos personalizados, por vezes, não retornavam à sequência operacional original, deixando o tratamento nativo do PHP para Phar ativo e vulnerável. Exemplos mostram como o tratamento pode ser contornado no código de aplicativos personalizados, como quando uma exceção é lançada a partir de código organizado em um arquivo Phar ou quando erros são convertidos em exceções e lançados ao interagir com o conteúdo do arquivo.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.