У бібліятэцы
Бібліятэка распрацавана стваральнікамі CMS TYPO3, але таксама прымяняецца ў праектах Drupal і Joomla, што робіць іх таксама схільным да ўразлівасці. Праблема ўхіленая ў выпусках
З практычнага боку ўразлівасць у PharStreamWapper дазваляе карыстачу Drupal Core, меламу паўнамоцтвы адміністратара тэм афармлення ('Administer theme'), загрузіць шкоднасны phar-файл і дамагчыся выкананні размешчанага ў ім PHP-кода пад выглядам легітымнага phar-архіва. Нагадаем, што сутнасць нападу "Phar deserialization" у тым, што пры праверцы загружаных файлаў дапамогі PHP-функцыі file_exists(), гэтая функцыя аўтаматычна выконвае дэсерыялізацыю метададзеных з файлаў Phar (PHP Archive) пры апрацоўцы шляхоў, якія пачынаюцца з "phar://" . Перадача phar-файла магчымая пад выглядам карцінкі, бо функцыя file_exists() вызначае MIME-тып па змесціва, а не па пашырэнні.
Крыніца: opennet.ru