Katika maktaba , ambayo hutoa washughulikiaji kulinda dhidi ya kupitia uingizwaji wa faili katika umbizo la "Phar", (), ambayo hukuruhusu kukwepa ulinzi wa kuondoa msimbo kwa kubadilisha herufi ".." kwenye njia. Kwa mfano, mshambulizi anaweza kutumia URL kama vile “phar:///path/bad.phar/../good.phar” kwa shambulio, na maktaba itaangazia jina la msingi “/path/good.phar” wakati kuangalia, ingawa wakati wa usindikaji zaidi wa njia kama hiyo Faili "/path/bad.phar" itatumika.
Maktaba ilitengenezwa na waundaji wa CMS TYPO3, lakini pia inatumika katika miradi ya Drupal na Joomla, ambayo inazifanya pia kuathiriwa. Tatizo limewekwa katika matoleo . Mradi wa Drupal ulirekebisha suala hilo katika sasisho 7.67, 8.6.16 na 8.7.1. Katika Joomla tatizo linaonekana tangu toleo la 3.9.3 na lilirekebishwa katika toleo la 3.9.6. Ili kurekebisha tatizo katika TYPO3, unahitaji kusasisha maktaba ya PharStreamWapper.
Kwa upande wa vitendo, uwezekano wa kuathiriwa katika PharStreamWapper humruhusu mtumiaji wa Drupal Core aliye na ruhusa za 'Dhibiti mandhari' kupakia faili hasidi ya phar na kusababisha msimbo wa PHP ulio ndani yake kutekelezwa chini ya kivuli cha kumbukumbu halali ya duka. Kumbuka kwamba kiini cha shambulio la "Phar deserialization" ni kwamba wakati wa kuangalia faili za usaidizi zilizopakiwa za faili ya kazi ya PHP_exists(), chaguo hili la kukokotoa huondoa kiotomatiki metadata kutoka kwa faili za Phar (Kumbukumbu ya PHP) wakati wa kuchakata njia zinazoanza na "phar://" . Inawezekana kuhamisha faili ya phar kama picha, kwa kuwa faili_exists() chaguo la kukokotoa huamua aina ya MIME kwa maudhui, na si kwa ugani.
Chanzo: opennet.ru