Katika maktaba
Maktaba ilitengenezwa na waundaji wa CMS TYPO3, lakini pia inatumika katika miradi ya Drupal na Joomla, ambayo inazifanya pia kuathiriwa. Tatizo limewekwa katika matoleo
Kwa upande wa vitendo, uwezekano wa kuathiriwa katika PharStreamWapper humruhusu mtumiaji wa Drupal Core aliye na ruhusa za 'Dhibiti mandhari' kupakia faili hasidi ya phar na kusababisha msimbo wa PHP ulio ndani yake kutekelezwa chini ya kivuli cha kumbukumbu halali ya duka. Kumbuka kwamba kiini cha shambulio la "Phar deserialization" ni kwamba wakati wa kuangalia faili za usaidizi zilizopakiwa za faili ya kazi ya PHP_exists(), chaguo hili la kukokotoa huondoa kiotomatiki metadata kutoka kwa faili za Phar (Kumbukumbu ya PHP) wakati wa kuchakata njia zinazoanza na "phar://" . Inawezekana kuhamisha faili ya phar kama picha, kwa kuwa faili_exists() chaguo la kukokotoa huamua aina ya MIME kwa maudhui, na si kwa ugani.
Chanzo: opennet.ru