W bibliotece
Biblioteka została opracowana przez twórców CMS TYPO3, ale jest również wykorzystywana w projektach Drupal i Joomla, co czyni je również podatnymi na luki. Problem rozwiązany w wersjach
Z praktycznego punktu widzenia, luka w PharStreamWapper pozwala użytkownikowi Drupala Core z uprawnieniami „Administruj motywem” na przesłanie złośliwego pliku phar i spowodowanie, że zawarty w nim kod PHP zostanie wykonany pod przykrywką legalnego archiwum phar. Przypomnijmy, że istotą ataku „deserializacja Phar” jest to, że podczas sprawdzania załadowanych plików pomocy funkcji PHP file_exists(), funkcja ta automatycznie deserializuje metadane z plików Phar (Archiwum PHP) podczas przetwarzania ścieżek rozpoczynających się od „phar://” . Możliwe jest przesłanie pliku phar jako obrazu, ponieważ funkcja file_exists() określa typ MIME na podstawie zawartości, a nie rozszerzenia.
Źródło: opennet.ru