관리자 페이지 원격 명령 실행 취약점 수정

2024-02-14 19:09:20 +09:00
parent 8d912e3511
commit 248cb2b173
7 changed files with 14 additions and 10 deletions
--- a/mobile/shop/event.php
+++ b/mobile/shop/event.php
@ -33,7 +33,7 @@ else
    $order_by = 'b.it_order, b.it_id desc';

 if ($skin) {
-    $skin = preg_replace('#\.+(\/|\\\)#', '', $skin);
+    $skin = preg_replace(array('#\.+(\/|\\\)#', '#[\'\"]#'), array('', ''), $skin);
    $ev['ev_skin'] = $skin;
 }

--- a/mobile/shop/lg/mispwapurl.php
+++ b/mobile/shop/lg/mispwapurl.php
@ -2,7 +2,7 @@
 // 해당 페이지는 사용자가 ISP{국민/BC) 카드 결제를 성공하였을 때, 사용자에게 보여지는 페이지입니다.
 include_once('./_common.php');

-$LGD_OID    = clean_xss_tags($_GET['LGD_OID']);
+$LGD_OID    = clean_xss_tags($_GET['LGD_OID'], 1, 1);

 echo "LGD_OID = ".$LGD_OID;

--- a/mobile/shop/orderinquiryview.php
+++ b/mobile/shop/orderinquiryview.php
@ -1,5 +1,7 @@
 <?php
-include_once('./_common.php');
+if (!defined("_GNUBOARD_")) exit; // 개별 페이지 접근 불가
+
+$od_id = isset($_REQUEST['od_id']) ? safe_replace_regex($_REQUEST['od_id'], 'od_id') : '';

 // 테마에 orderinquiryview.php 있으면 include
 if(defined('G5_THEME_MSHOP_PATH')) {