Al intentar replicar una vulnerabilidad de seguridad en mi máquina local, me di cuenta de que PHP en mi máquina no descodifica %2e como un punto. Creé el siguiente archivo de prueba:
<?php var_dump(file_exists("%2e%2e/file_that_exists"));
Lo que siempre devuelve falso. ¿Cuáles son los requisitos del servidor para que un ataque como este funcione?
Estoy ejecutando Apache / 2.4.18 con PHP 7.0.25-0ubuntu0.16.04.1.