cypherpunks

По прежнему остаётся возможность заливки вредоносного .php-файла в какую-то из папок, насколько я понимаю. Также, при проверке файлов был обнаружен хардкод: сайт korob-ok.com.ua в корневом файле .htaccess, путь к AuthUserFile в simpla/.htaccess, а также какой-то пароль в simpla/.passwd

Насколько я понимаю, если Simpla стоит на многопользовательской машине (или на машине с множеством потенциально уязвимых программ), это создаёт дыру в безопасности. Зачем давать полный доступ посторонним пользователям? Веб-сервер же работает под одним аккаунтом. Кто угодно с аккаунтом на сервере (или злоумышленник, получивший доступ к какому-то из аккаунтов) может загрузить вредоносный код на сервер (убрав ограничения из файлов .htaccess, если таковые имеются) или получить доступ к админке (путём вставки своего пароля в .htpasswd).

Это относится к данному форуму. Пост — это, например, релиз новой версии Новой Simpla. К посту приложен архив с этой версией. Если пытаться его скачать без регистрации/входа на форум, то напишет, что нет доступа.

Файлов, приложенных к постам

Смысла нет, только мешает

Здесь есть всякие изменения, можно портировать.