HTACCESS

Protection contre la faille de sécurité de info.inc.php

Cette vulnérabilité touche le script info.inc.php qui contient des chemins d'includes préfixés par la variable $cfg[ThemePath].

Si register global est on, il est ainsi possible de faire remplacer les includes par des scripts externes.

Ces lignes dans un fichier .htaccess permettent de se protéger d'une inclusion de fichier distant en retournant une erreur 403.

RewriteCond %{QUERY_STRING} ^(.*&)?cfg\[ThemePath\]=http://
RewriteRule ^(.+/)?info\.inc\.php$ - [F,L]
PHP