na biblioteca
A biblioteca foi desenvolvida pelos criadores do CMS TYPO3, mas também é utilizada em projetos Drupal e Joomla, o que os torna também suscetíveis a vulnerabilidades. Problema corrigido nas versões
Do lado prático, uma vulnerabilidade no PharStreamWapper permite que um usuário do Drupal Core com permissões de 'Administrar tema' carregue um arquivo phar malicioso e faça com que o código PHP contido nele seja executado sob o disfarce de um arquivo phar legítimo. Lembre-se de que a essência do ataque de “desserialização Phar” é que ao verificar os arquivos de ajuda carregados da função PHP file_exists(), esta função desserializa automaticamente os metadados dos arquivos Phar (arquivo PHP) ao processar caminhos começando com “phar://” . É possível transferir um arquivo phar como uma imagem, pois a função file_exists() determina o tipo MIME por conteúdo e não por extensão.
Fonte: opennet.ru