Тема: Недостаточное ограничение исполнения скриптов в папке pictures и cache
В .htaccess указаны следующие расширения файлов, которые не будут выполняться: .php .php3 .php4 .phtml .pl .py .jsp .asp .htm .shtml .sh .cgi.
Но, существует еще одно расширение файла, распознаваемое как скрипт современными версиями PHP 5.x - php5. Такие файлы успешно загружаются через админпанель и выполняются. Этот факт ставит под угрозу безопасность сервера :).
Также, есть возможность просто переименовать файл .htaccess встроенными средствами скрипта, тем самым сняв все ограничения.
(В демоверсии данную проблему воспроизвести не получается из-за ограничения исполнения на уровне сервера.)
26.01.2014 02:15:39. Текст был изменен (kdiler).