1. CVE-Search
  2. CVE-2019-11831
ID CVE-2019-11831
Summary The PharStreamWrapper (aka phar-stream-wrapper) package 2.x before 2.1.1 and 3.x before 3.1.1 for TYPO3 does not prevent directory traversal, which allows attackers to bypass a deserialization protection mechanism, as demonstrated by a phar:///path/bad.phar/../good.phar URL.
References
Vulnerable Configurations
  • cpe:2.3:a:typo3:pharstreamwrapper:2.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:typo3:pharstreamwrapper:2.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:typo3:pharstreamwrapper:2.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:typo3:pharstreamwrapper:2.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:typo3:pharstreamwrapper:2.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:typo3:pharstreamwrapper:2.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:typo3:pharstreamwrapper:3.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:typo3:pharstreamwrapper:3.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:typo3:pharstreamwrapper:3.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:typo3:pharstreamwrapper:3.1.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha4:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha4:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha5:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha5:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha6:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha6:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:alpha7:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:alpha7:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:dev:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.0:rc4:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.0:rc4:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.1:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.2:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.3:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.4:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.4:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.5:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.5:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.6:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.6:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.7:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.7:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.8:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.8:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.9:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.9:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.10:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.10:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.11:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.11:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.12:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.12:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.13:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.13:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.14:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.14:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.15:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.15:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.16:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.16:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.17:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.17:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.18:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.18:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.19:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.19:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.20:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.20:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.21:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.21:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.22:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.22:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.23:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.23:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.24:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.24:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.25:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.25:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.26:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.26:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.27:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.27:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.28:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.28:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.29:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.29:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.30:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.30:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.31:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.31:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.32:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.32:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.33:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.33:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.34:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.34:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.35:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.35:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.36:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.36:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.37:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.37:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.38:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.38:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.39:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.39:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.40:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.40:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.41:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.41:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.42:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.42:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.43:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.43:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.44:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.44:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.50:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.50:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.51:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.51:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.52:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.52:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.53:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.53:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.54:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.54:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.55:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.55:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.56:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.56:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.57:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.57:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.58:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.58:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.59:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.59:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.60:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.60:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.61:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.61:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.62:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.62:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.63:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.63:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.64:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.64:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.65:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.65:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:7.66:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:7.66:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.7:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.7:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.8:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.8:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.9:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.9:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.10:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.10:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.11:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.11:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.12:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.12:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.13:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.13:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.14:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.14:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.6.15:*:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.6.15:*:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:-:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:-:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:drupal:drupal:8.7.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:drupal:drupal:8.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.3:-:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.3:-:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.4:*:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.4:-:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.4:-:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.5:-:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.5:-:*:*:*:*:*:*
  • cpe:2.3:a:joomla:joomla\!:3.9.5:rc1:*:*:*:*:*:*
    cpe:2.3:a:joomla:joomla\!:3.9.5:rc1:*:*:*:*:*:*
CVSS
Base: 7.5 (as of 01-10-2021 - 15:31)
Impact:
Exploitability:
CWE CWE-502
CAPEC
  • Object Injection
    An adversary attempts to exploit an application by injecting additional, malicious content during its processing of serialized objects. Developers leverage serialization in order to convert data or state into a static, binary format for saving to disk or transferring over a network. These objects are then deserialized when needed to recover the data/state. By injecting a malformed object into a vulnerable application, an adversary can potentially compromise the application by manipulating the deserialization process. This can result in a number of unwanted outcomes, including remote code execution.
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:P/A:P
refmap via4
bid 108302
bugtraq 20190515 [SECURITY] [DSA 4445-1] drupal7 security update
confirm
debian DSA-4445
fedora
  • FEDORA-2019-040857fd75
  • FEDORA-2019-3c89837025
  • FEDORA-2019-41d6ffd6f0
  • FEDORA-2019-4d93cf2b34
  • FEDORA-2019-84a50e34a9
  • FEDORA-2019-d5f883429d
misc
mlist [debian-lts-announce] 20190520 [SECURITY] [DLA 1797-1] drupal7 security update
Last major update 01-10-2021 - 15:31
Published 09-05-2019 - 04:29
Last modified 01-10-2021 - 15:31
Back to Top