[KVE-2020-1597, 2021-0016] 그누보드 다중 취약점 수정

adm/sms_admin/form_group_update.php

@@ -13,7 +13,7 @@ if ($w == 'u') // 업데이트
         // 실제 번호를 넘김
         $k = $post_cnk[$i];
         $fg_no = isset($_POST['fg_no'][$k]) ? (int) $_POST['fg_no'][$k] : 0;
-        $fg_name = isset($_POST['fg_name'][$k]) ? addslashes(strip_tags($_POST['fg_name'][$k])) : '';
+        $fg_name = isset($_POST['fg_name'][$k]) ? addslashes(strip_tags(clean_xss_attributes($_POST['fg_name'][$k]))) : '';
         $fg_member = isset($_POST['fg_member'][$k]) ? addslashes(strip_tags($_POST['fg_member'][$k])) : '';
 
         if (!is_numeric($fg_no))
@@ -82,11 +82,11 @@ else if ($w == 'no')
 }
 else // 등록
 {
+    $fg_name = isset($_POST['fg_name']) ? addslashes(strip_tags(clean_xss_attributes($_POST['fg_name']))) : '';
+
     if (!strlen(trim($fg_name)))
         alert('그룹명을 입력해주세요');
 
-    $fg_name = addslashes(strip_tags($fg_name));
-
     $res = sql_fetch("select fg_name from {$g5['sms5_form_group_table']} where fg_name = '$fg_name'");
     if ($res)
         alert('같은 그룹명이 존재합니다.');