A la biblioteca
La biblioteca va ser desenvolupada pels creadors del CMS TYPO3, però també s'utilitza en projectes Drupal i Joomla, la qual cosa els fa també susceptibles a vulnerabilitats. Problema solucionat a les versions
Pel que fa a la pràctica, una vulnerabilitat a PharStreamWapper permet a un usuari de Drupal Core amb permisos "Administrar tema" penjar un fitxer phar maliciós i fer que el codi PHP que hi conté s'executi sota l'aparença d'un arxiu phar legítim. Recordeu que l'essència de l'atac de "deserialització Phar" és que quan es comproven els fitxers d'ajuda carregats de la funció PHP file_exists(), aquesta funció deserialitza automàticament les metadades dels fitxers Phar (Arxiu PHP) quan es processen els camins que comencen per "phar://". . És possible transferir un fitxer phar com a imatge, ja que la funció file_exists() determina el tipus MIME per contingut, i no per extensió.
Font: opennet.ru