Bonjour, Visiblement on peut inclure du PHP dans un fichier .htaccess:
https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait sans doute intéressant d'y remédier. La correction pourrait se faire ici : http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par /^\.ht|\.php\d?$/i. Je crois qu'à l'époque il y avait un petit débat sur ce paramètre media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt une erreur de celui qui installe/configure Dotclear. Mais l'argument, je crois, c'était que ça risquait d'arriver à des gens. -- Alexandre -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
