CVE-2026-25524

Name of the Vulnerable Software and Affected Versions Magento Long Term Support (LTS) versões anteriores a 20.17.0

Description Funções PHP como getimagesize(), file exists() e is readable() podem disparar a desserialização ao processar caminhos do wrapper de stream phar://. O software utiliza essas funções com caminhos de arquivo potencialmente controláveis durante a validação de imagens e manipulação de mídia. Um invasor pode fazer o upload de um arquivo poliglota — um arquivo que é simultaneamente uma imagem válida e um arquivo PHAR (PHP Archive) válido contendo objetos serializados maliciosos — e acionar uma dessas funções com um caminho phar:// para alcançar a execução arbitrária de código. Isso ocorre porque o formato PHAR armazena metadados serializados que são automaticamente desserializados quando acessados via protocolo phar://, mesmo por funções aparentemente seguras.

Recommendations Atualize para a versão 20.17.0. Como solução temporária, desative o wrapper de stream phar:// adicionando-o à diretiva disable functions no arquivo php.ini ou utilizando a função stream wrapper unregister('phar') no código. Restrinja o uso do wrapper phar:// bloqueando requisições que contenham essa string em parâmetros através de um Web Application Firewall.