Liburutegian
Liburutegia CMS TYPO3-ren sortzaileek garatu zuten, baina Drupal eta Joomla proiektuetan ere erabiltzen da, eta horrek ahuleziak ere jasan ditzake. Arazoa argitalpenetan konpondu da
Alde praktikoan, PharStreamWapper-en ahultasun batek "Administratu gaia" baimenak dituen Drupal Core erabiltzaile bati phar fitxategi maltzur bat igo eta bertan dagoen PHP kodea exekutatzea ahalbidetzen du legezko phar artxibo baten itxurapean. Gogoratu "Phar deserialization" erasoaren funtsa PHP funtzioaren file_exists() kargatutako laguntza-fitxategiak egiaztatzean, funtzio honek Phar fitxategietako metadatuak automatikoki deserializatzen dituela (PHP Artxiboa) "phar://"-rekin hasten diren bideak prozesatzen dituenean. . Posible da phar fitxategi bat irudi gisa transferitzea, file_exists() funtzioak MIME mota edukiaren arabera zehazten baitu, eta ez luzapenaren arabera.
Iturria: opennet.ru