CVE-2020-28948 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:PEAR Archive_Tar 库存在反序列化漏洞。 💥 **后果**:攻击者可利用 `phar://` 协议触发恶意反序列化,导致远程代码执行或系统被控。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:输入验证缺失。 📉 **原因**:`phar:` 协议被拦截,但 `phar:`(注意大小写或变体)未被完全阻塞,导致恶意 Phar 文件可被解析。
Q3影响谁?(版本/组件)
📦 **组件**:PEAR Archive_Tar。 🔢 **版本**:**1.4.10 及之前版本**。 🌐 **影响**:使用该库的 PHP 应用(如 Drupal 等)。
Q4黑客能干啥?(权限/数据)
👮 **权限**:远程攻击者。 📂 **数据**:可执行任意代码,完全控制受影响服务器,窃取敏感数据。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 ⚙️ **配置**:需应用允许用户上传或处理 Tar 包,且未修复漏洞版本。无需认证即可利用(若上传点公开)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:有。 🔗 **PoC**:GitHub 上已有多个 PoC 仓库(如 `0x240x23elu` 和 `JinHao-L` 提供的代码),可直接复现利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 PHP 项目中是否依赖 `pear/archive_tar`。 📊 **版本**:确认版本是否 ≤ 1.4.10。 🛠️ **扫描**:使用 SAST 工具检测 `phar://` 伪协议调用。
Q8官方修了吗?(补丁/缓解)
✅ **已修**:是。 📢 **公告**:Drupal (SA-CORE-2020-013)、Debian (DSA-4817)、Fedora 均已发布补丁。 🔄 **建议**:立即升级至修复版本。
Q9没补丁咋办?(临时规避)
🛡️ **规避**: 1️⃣ 禁用 `phar://` 流封装器(`allow_url_include=Off` 不够,需代码层过滤)。 2️⃣ 严格校验上传文件类型,禁止 Phar/Tar 文件直接处理。 3️⃣ 升级库文件。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⏰ **紧急**:PoC 已公开,影响广泛(Drupal 等主流 CMS 受影响),建议 **立即修复** 以防被自动化扫描利用。