په کتابتون کې ، کوم چې سمبالونکي چمتو کوي چې په وړاندې یې ساتنه وکړي د "Phar" بڼه کې د فایل بدیل له لارې، ()، کوم چې تاسو ته اجازه درکوي په لاره کې د ".. د مثال په توګه، یو برید کوونکی کولی شي یو URL لکه "phar:///path/bad.phar/../good.phar" د برید لپاره وکاروي، او کتابتون به د بنسټ نوم "/path/good.phar" روښانه کړي کله چې چک کول، که څه هم د داسې یوې لارې د نورو پروسس کولو پرمهال به د "/path/bad.phar" فایل کارول کیږي.
کتابتون د CMS TYPO3 جوړونکو لخوا رامینځته شوی، مګر د Drupal او Joomla پروژو کې هم کارول کیږي، کوم چې دوی هم د زیان منونکو پیښو لپاره حساس کوي. مسله په ریلیزونو کې ټاکل شوې . د ډروپل پروژې مسله په 7.67، 8.6.16 او 8.7.1 تازه معلوماتو کې حل کړه. په جوملا کې ستونزه د 3.9.3 نسخه راهیسې ښکاري او په 3.9.6 ریلیز کې حل شوې. په TYPO3 کې د ستونزې حل کولو لپاره، تاسو اړتیا لرئ د PharStreamWapper کتابتون تازه کړئ.
په عملي اړخ کې، په PharStreamWapper کې یو زیانمنتیا د Drupal Core کارونکي ته اجازه ورکوي چې د 'Administer theme' اجازې سره یو ناوړه phar فایل اپلوډ کړي او د دې لامل شي چې په دې کې موجود PHP کوډ د قانوني phar آرشیف په څیر اجرا شي. په یاد ولرئ چې د "Phar deserialization" برید جوهر دا دی چې کله د PHP فنکشن فایل_exists() بار شوي مرستې فایلونه چیک کوي ، دا فنکشن په اوتومات ډول د Phar فایلونو (PHP آرشیف) څخه میټاډاټا غیر منظم کوي کله چې د "phar://" سره پیل شوي لارې پروسس کوي. . دا ممکنه ده چې د phar فایل د عکس په توګه انتقال کړئ، ځکه چې د file_exists() فنکشن د منځپانګې په واسطه د MIME ډول ټاکي، نه د توسیع په واسطه.
سرچینه: opennet.ru