Salut Alexandre, Oui tu as raison, c'est à prendre en compte.
Le 7 novembre 2013 12:26, Alexandre <[email protected]> a écrit : > Bonjour, > > Visiblement on peut inclure du PHP dans un fichier .htaccess: > > > https://github.com/wireghoul/htshells/blob/master/shell/mod_php.shell.htaccess > > Puisque Apache est le serveur web par défaut de beaucoup de gens, il serait > sans doute intéressant d'y remédier. > > La correction pourrait se faire ici : > > http://dev.dotclear.org/2.0/browser/inc/core/class.dc.core.php#L1298 > > En remplaçant /\.php$/i par /^\.ht|\.php$/i voire même par > /^\.ht|\.php\d?$/i. > > Je crois qu'à l'époque il y avait un petit débat sur ce paramètre > media_exclusion ; ce n'est pas une vulnérabilité de Dotclear, mais plutôt > une erreur de celui qui installe/configure Dotclear. Mais l'argument, je > crois, c'était que ça risquait d'arriver à des gens. > > -- > Alexandre > -- > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev > -- Franck -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
