[KVE-2022-0992] 그누보드5 스크립트 실행 취약점 수정

2022-09-15 11:30:10 +09:00
parent f1a303e445
commit 27434107e8
2 changed files with 38 additions and 3 deletions
--- a/bbs/download.php
+++ b/bbs/download.php
@ -22,6 +22,14 @@ $file = sql_fetch($sql);
 if (!$file['bf_file'])
    alert_close('파일 정보가 존재하지 않습니다.');

+$nonce = isset($_REQUEST['nonce']) ? preg_replace('/[^0-9a-z\|]/i', '', $_REQUEST['nonce']) : '';
+
+if (function_exists('download_file_nonce_is_valid')){
+    if(! download_file_nonce_is_valid($nonce, $bo_table, $wr_id)){
+        alert('토큰 유효시간이 지났거나 토큰이 유효하지 않습니다.\\n브라우저를 새로고침 후 다시 시도해 주세요.', G5_URL);
+    }
+}
+
 // JavaScript 불가일 때
 $js = (isset($_GET['js'])) ? $_GET['js'] : '';
 if($js != 'on' && $board['bo_download_point'] < 0) {