[Sécurité] Reflect : Exploit RFI

Avec beaucoup de retard (sic) je vous fait passer la traduction de l’alerte du 24 novembre concernant une faille de sécurité provenant de /assets/snippets/reflect/snippet.reflect.php (ce fichier peut être supprimé et a été laissé par erreur dans l’archive de modx, il ne sert à rien).

Cette faille n’intervient que si vous avez register_globals réglé sur ON (certains hébergeurs ne permettent pas un autre réglage).

Si c’est le cas, vous avez été alerté de ce problème par l’installeur de modx. Vous pouvez aussi vérifier votre phpinfo dans [tt]Rapports > Afficher Infos Systèmes >> phpInfo() Afficher[/tt] cherchez le réglage "register_globals" dans Configuration/PHP Core. Concernant les risques liés à register_globals on, lisez ceci). Normalement par défaut cette directive est sur OFF depuis PHP 4.2.0 et sera supprimée (impossible à activer) à partir de PHP6.

Il suffit donc de supprimer le fichier ou de le renommer avec une extension .txt qui le rendra non exécutable.

Merci de votre attention.