Sa library
Ang librarya gimugna sa mga tiglalang sa CMS TYPO3, apan gigamit usab sa Drupal ug Joomla nga mga proyekto, nga naghimo kanila nga daling madala sa mga kahuyangan. Naayo ang isyu sa mga pagpagawas
Sa praktikal nga bahin, ang usa ka pagkahuyang sa PharStreamWapper nagtugot sa usa ka Drupal Core nga tiggamit nga adunay mga pagtugot sa 'Administer theme' nga mag-upload sa usa ka malisyoso nga phar file ug hinungdan nga ang PHP code nga naa niini ipatuman sa ilalum sa usa ka lehitimong phar archive. Hinumdomi nga ang esensya sa pag-atake sa "Phar deserialization" mao nga kung susihon ang gikarga nga mga file sa tabang sa PHP function file_exists(), kini nga function awtomatiko nga nag-deserialize sa metadata gikan sa mga file sa Phar (PHP Archive) kung giproseso ang mga agianan nga nagsugod sa "phar: //" . Posible nga ibalhin ang usa ka phar file ingon usa ka imahe, tungod kay ang file_exists() function nagtino sa tipo sa MIME pinaagi sa sulud, ug dili pinaagi sa extension.
Source: opennet.ru