நூலகத்தில்
இந்த நூலகம் CMS TYPO3 உருவாக்கியவர்களால் உருவாக்கப்பட்டது, ஆனால் இது Drupal மற்றும் Joomla திட்டங்களிலும் பயன்படுத்தப்படுகிறது, இதனால் அவை பாதிப்புகளுக்கு ஆளாகின்றன. வெளியீடுகளில் சிக்கல் சரி செய்யப்பட்டது
நடைமுறைப் பக்கத்தில், PharStreamWapper இல் உள்ள ஒரு பாதிப்பு, 'நிர்வாகி தீம்' அனுமதிகளைக் கொண்ட Drupal Core பயனரை தீங்கிழைக்கும் phar கோப்பைப் பதிவேற்றவும், அதில் உள்ள PHP குறியீட்டை முறையான phar காப்பகத்தின் போர்வையில் செயல்படுத்தவும் அனுமதிக்கிறது. "Phar deserialization" தாக்குதலின் சாராம்சம் என்னவென்றால், PHP செயல்பாடு file_exists () இன் ஏற்றப்பட்ட உதவி கோப்புகளை சரிபார்க்கும் போது, இந்த செயல்பாடு "phar://" இல் தொடங்கும் பாதைகளை செயலாக்கும் போது Phar கோப்புகளிலிருந்து (PHP காப்பகம்) தானாகவே மெட்டாடேட்டாவை நீக்குகிறது. . ஒரு phar கோப்பை ஒரு படமாக மாற்றுவது சாத்தியம், ஏனெனில் file_exists() செயல்பாடு MIME வகையை உள்ளடக்கத்தால் தீர்மானிக்கிறது, ஆனால் நீட்டிப்பு மூலம் அல்ல.
ஆதாரம்: opennet.ru