V knihovně , která poskytuje psovodům ochranu před prostřednictvím náhrady souborů ve formátu „Phar“, (), který vám umožňuje obejít ochranu proti deserializaci kódu nahrazením znaků „..“ v cestě. Útočník může například k útoku použít adresu URL jako „phar:///cesta/bad.phar/../good.phar“ a knihovna zvýrazní základní název „/cesta/dobrý.phar“, když kontrola, i když při dalším zpracování takové cesty bude použit soubor "/cesta/bad.phar".
Knihovna byla vyvinuta tvůrci CMS TYPO3, ale používá se také v projektech Drupal и Joomla, což je činí také zranitelnými. Problém je opraven ve verzích Projekt Drupal Problém opraven v aktualizacích 7.67, 8.6.16 a 8.7.1. Joomla Problém se vyskytuje již od verze 3.9.3 a byl opraven ve verzi 3.9.6. Chcete-li problém v TYPO3 vyřešit, je třeba aktualizovat knihovnu PharStreamWapper.
Z praktického hlediska zranitelnost v PharStreamWapper umožňuje uživateli Drupal Jádro s oprávněním „Správa motivu“ nahraje škodlivý soubor phar a spustí v něm obsažený PHP kód, maskovaný jako legitimní archiv phar. Pro připomenutí, útok „deserializace Phar“ funguje tak, že automaticky deserializuje metadata ze souborů Phar (PHP archiv) při kontrole nahraných souborů nápovědy pro funkci PHP file_exists() při zpracování cest začínajících na „phar://“. Přenos souboru phar jako obrázku je možný, protože file_exists() určuje typ MIME na základě obsahu souboru, nikoli jeho přípony.
Zdroj: opennet.ru
