Kirjastossa , joka tarjoaa käsittelijöille suojan korvaamalla tiedosto "Phar"-muodossa, (), jonka avulla voit ohittaa koodin sarjoitussuojauksen korvaamalla polussa ".."-merkkejä. Hyökkääjä voi esimerkiksi käyttää hyökkäykseen URL-osoitetta, kuten "phar:///path/bad.phar/../good.phar", ja kirjasto korostaa perusnimen "/path/good.phar", kun tarkistaa, vaikka tällaisen polun jatkokäsittelyn aikana käytetään tiedostoa "/path/bad.phar".
Kirjaston ovat kehittäneet CMS TYPO3:n luojat, mutta sitä käytetään myös Drupal- ja Joomla-projekteissa, mikä tekee niistä myös herkkiä haavoittuvuuksille. Ongelma korjattu julkaisuissa . Drupal-projekti korjasi ongelman päivityksillä 7.67, 8.6.16 ja 8.7.1. Joomlassa ongelma ilmenee versiosta 3.9.3 lähtien ja se korjattiin julkaisussa 3.9.6. TYPO3:n ongelman korjaamiseksi sinun on päivitettävä PharStreamWapper-kirjasto.
Käytännössä PharStreamWapperin haavoittuvuus mahdollistaa sen, että Drupal Core -käyttäjä, jolla on 'Hallitse teemaa' -oikeudet, voi ladata haitallisen phar-tiedoston ja saada sen sisältämän PHP-koodin suorittamaan laillisen phar-arkiston varjolla. Muista, että "Phar deserialization" -hyökkäyksen ydin on, että kun tarkastetaan PHP-funktion file_exists() ladattuja ohjetiedostoja, tämä toiminto deserialoi automaattisesti metatiedot Phar-tiedostoista (PHP-arkisto), kun käsitellään polkuja, jotka alkavat "phar://" . On mahdollista siirtää phar-tiedosto kuvana, koska file_exists()-funktio määrittää MIME-tyypin sisällön, ei laajennuksen mukaan.
Lähde: opennet.ru