[KVE-2020-0656]영카트 제로클릭 명령어삽입 취약점 수정

2020-08-12 16:36:51 +09:00
parent 308720e7c0
commit cd0d95ab7a
3 changed files with 6 additions and 5 deletions
--- a/mobile/shop/kcp/pp_ax_hub.php
+++ b/mobile/shop/kcp/pp_ax_hub.php
@ -30,10 +30,10 @@
    /* =   01. 지불 요청 정보 설정                                                  = */
    /* = -------------------------------------------------------------------------- = */
 	$req_tx         = $_POST[ "req_tx"         ]; // 요청 종류
-	$tran_cd        = $_POST[ "tran_cd"        ]; // 처리 종류
+	$tran_cd        = preg_replace('/[^0-9A-Za-z_\-\.]/i', '', $_POST[ "tran_cd"        ]); // 처리 종류
 	/* = -------------------------------------------------------------------------- = */
 	$cust_ip        = getenv( "REMOTE_ADDR"    ); // 요청 IP
-	$ordr_idxx      = $_POST[ "ordr_idxx"      ]; // 쇼핑몰 주문번호
+	$ordr_idxx      = preg_replace('/[^0-9A-Za-z_\-\.]/i', '', $_POST[ "ordr_idxx"      ]); // 쇼핑몰 주문번호
 	$good_name      = addslashes($_POST[ "good_name"      ]); // 상품명
 	$good_mny       = $_POST[ "good_mny"       ]; // 결제 총금액
 	/* = -------------------------------------------------------------------------- = */