Në bibliotekë
Biblioteka u zhvillua nga krijuesit e CMS TYPO3, por përdoret gjithashtu në projektet Drupal dhe Joomla, gjë që i bën ata gjithashtu të ndjeshëm ndaj dobësive. Problemi u rregullua në publikime
Nga ana praktike, një dobësi në PharStreamWapper lejon një përdorues Drupal Core me lejet e 'Administer theme' të ngarkojë një skedar phar me qëllim të keq dhe të bëjë që kodi PHP që gjendet në të të ekzekutohet nën maskën e një arkivi legjitim phar. Kujtojmë që thelbi i sulmit "Phar deserialization" është që kur kontrolloni skedarët e ngarkuar të ndihmës të funksionit PHP file_exists(), ky funksion deserializon automatikisht metadatat nga skedarët Phar (Arkivi PHP) kur përpunon shtigjet që fillojnë me "phar://" . Është e mundur të transferohet një skedar phar si imazh, pasi funksioni file_exists() përcakton llojin MIME sipas përmbajtjes dhe jo sipas shtrirjes.
Burimi: opennet.ru