Un importante faille de PHP (lorsqu’il est utilisé en mode CGI : pour apache “mod_cgid”) vient d’être découverte, elle est d’autant plus importante qu’elle en est simple à utiliser et très relayée par les médias.
La faille consiste à rajouter “-s” à la suite d’une adresse web finissant en .php afin de voir le script de la page. Par exemple :
http://localhost/index.php?-s
Quel est le danger ?
Les développeurs le sauront tout de suite, certains mettent des informations comme des mots de passes par exemple en “dur” dans les pages PHP.
De plus des failles jusque là inconnues ou pas forcément évidentes du site internet peuvent découverte de cette façon encore plus facilement.
Un patch de correction est cependant disponible ici : http://www.php.net/archive/2012.php#id2012-05-03-1
Les arguments -d et -c sont aussi apparemment utilisables (Manuel)