Sa library
Ang library ay binuo ng mga tagalikha ng CMS TYPO3, ngunit ginagamit din sa mga proyekto ng Drupal at Joomla, na ginagawang madaling kapitan din sila sa mga kahinaan. Naayos ang isyu sa mga release
Sa praktikal na bahagi, ang isang kahinaan sa PharStreamWapper ay nagbibigay-daan sa isang user ng Drupal Core na may mga pahintulot na 'Administer theme' na mag-upload ng isang malisyosong phar file at maging sanhi ng PHP code na nakapaloob dito upang maisagawa sa ilalim ng pagkukunwari ng isang lehitimong phar archive. Alalahanin na ang esensya ng pag-atake ng "Phar deserialization" ay kapag sinusuri ang mga na-load na help file ng PHP function na file_exists(), awtomatikong inaalis ng function na ito ang metadata mula sa mga Phar file (PHP Archive) kapag nagpoproseso ng mga path na nagsisimula sa "phar://" . Posibleng ilipat ang isang phar file bilang isang imahe, dahil tinutukoy ng file_exists() function ang uri ng MIME ayon sa nilalaman, at hindi sa pamamagitan ng extension.
Pinagmulan: opennet.ru