Раскрытие директории в плагине «Sitemap»

Багрепорт
В текущей версии плагина (0.4.0) Sitemap для LiveStreet CMS возможно раскрытие директории через вызов файла из директории /plugins/sitemap/tests/behat/features/bootstrap/FeatureContext.php, что приведет к ошибке php.

Чтобы закрыть данную уязвимость достаточно скопировать файл .htaccess из папки config плагина в папку tests или вручную создать файл со следующим содержимым:
Order Deny,Allow
Deny from all

Это кросспост из гида по движку.

10 комментариев

avatar
Действительно! Спасибо. У себя подправил на сайте
avatar
Я вот заметил. что вы немало таких дыр «залатали». Но никак не пойму чем же это опасно, например, в данном случае?
avatar
Перечитайте ещё пару раз топик.
avatar
это дает некую информацию о сайте. Логин пользователя (аккаунта) например.
avatar
А логины вроде и так видны в списке пользователей?
avatar
логин пользователя на сервере, а не на сайте.
avatar
Что-то у меня этот линк никаких ошибок не вызывает. О какой версии LS речь?
avatar
у вас может быть включено подавление ошибок.
версия плагина в данном случае имеет значение.
avatar
Собственно тоже только скачал отсюда (Оказалось у меня чуть устаревшая версия стояла) и ошибки тоже нет.
avatar
Для php-fpm в конфиге добавлять:
 location ~ /tests/.*.php$ {
     deny all;
 }
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.