원격코드 실행 취약점(17-00160) 수정

2017-03-14 12:30:58 +09:00
parent 20f658ffbb
commit c6425adffc
5 changed files with 26 additions and 2 deletions
--- a/adm/board_form_update.php
+++ b/adm/board_form_update.php
@ -35,6 +35,14 @@ if ($file = $_POST['bo_include_tail']) {
    $_POST['bo_include_tail'] = $file;
 }

+if(!is_include_path_check($_POST['bo_include_head'])) {
+    alert('/data/file/ 또는 /data/editor/ 포함된 문자를 상단 파일 경로에 포함시킬수 없습니다.');
+}
+
+if(!is_include_path_check($_POST['bo_include_tail'])) {
+    alert('/data/file/ 또는 /data/editor/ 포함된 문자를 하단 파일 경로에 포함시킬수 없습니다.');
+}
+
 $board_path = G5_DATA_PATH.'/file/'.$bo_table;

 // 게시판 디렉토리 생성
--- a/adm/sms_admin/_common.php
+++ b/adm/sms_admin/_common.php
@ -12,5 +12,7 @@ if (!strstr($_SERVER['SCRIPT_NAME'], 'install.php')) {
    //$sms5 = sql_fetch("select * from ".$g5['sms5_config_table'] );
 }

+$sv = isset($_REQUEST['sv']) ? get_search_string($_REQUEST['sv']) : '';
+
 add_stylesheet('<link rel="stylesheet" href="'.G5_SMS5_ADMIN_URL.'/css/sms5.css">', 0);
 ?>