Одним хорошим человеком найдена бага безопасности и сообщена нам, на что незамедлительно был сделан патч.
Скачать патч.
Содержимое архива распаковать с заменой.
Для продвинутых — вот коммит.
Основной архив в разделе "скачать" так же обновлен.
И я категорически напоминаю в очередной раз — не пренебрегайте базовыми правилами безопасности, повторюсь:
— После установки дистрибутива на все ПАПКИ должны быть выставлены права 755, на все файлы 644;— Владельцем ваших файлов должен быть пользователь какой угодно, но НО НЕ тот от которого запускается веб сервер.;
— После чего на папки /images, /upload, /cache, /backup и всех вложенных в них выставляем права 777.(важно! для файлов .htaccess и index.html в этих директориях необходимо оставить права 644);
— Для файла /includes/config.inc.php выставляем права 777 ТОЛЬКО НА ВРЕМЯ КОНФИГУГРИРОВАНИЯ! После конфигурирования права на этот файл должны стоять 644. На саму папку /includes выставляем права 777 ТОЛЬКО на время установки InstantCms (для создания файла config.inc.php), после успешной установки выставить 755;
— Для php необходимо настроить дериктиву open_basedir, ограничив директорией вашей www папки;
— отключите ВСЕ диагностические сообщения вашего веб сервера (директивы для apache: ServerTokens Prod и ServerSignature Off)