El ejemplo es comentarios de GitHub que solo permiten cargar imágenes y PDF. ¿Qué sucede si alguien carga un código malicioso después de cambiar la extensión del archivo a algo como PNG o PDF?
Tampoco te concentres en el ejemplo de GitHub. En general, me pregunto si cambiar una extensión de archivos (no totalmente no es virus.mp4.exe, pero virus.pdf o virus.txt) puede causar problemas.
Cualquier cosa puede suceder y lo que sucede exactamente depende del código del lado del servidor de la aplicación web. Algunos creen en extensiones, otros creen en el contenido, otros pueden ser engañados con ataques políglotas, ... Por lo tanto, en el mejor de los casos no ocurre nada o se produce un error porque el contenido no está permitido y en el peor de los casos puede ejecutar código en el servidor.
Si se hace correctamente, cualquier dato generado por el usuario debe considerarse un posible ataque del servidor y, por lo tanto, debe manejarse con mucho cuidado. Pero en la práctica, los servidores a menudo pueden ser explotados porque confían demasiado en los datos generados por el usuario. Esto incluye pero no se limita a confiar en la extensión del archivo. Ejemplo actual: confiar en una carga de imagen (imagetragick) .
Depende. Si el servidor y las personas que reciben el código intentan usarlo como PNG, el visor de PNG no podría funcionar o dar un error. También hay un sitio web que convierte a JS en un PNG válido y visible. Pero el código no se ejecutará a menos que intentes ejecutarlo. También puede cambiar el nombre de un archivo hello3pm.exe a hello (símbolo especial de Unicode) 3 pm.exe y se mostrará como helloexe.mp3 en Windows y se ejecutará al hacer clic. No recuerdo el símbolo especial de reversión de Unicode y la mayoría de los Anti-Virus reaccionarán de forma alarmante a los archivos con lo especial en el nombre.
Lea otras preguntas en las etiquetas network file-upload injection