(KVE-2021-1846) url 값에 Line feed인 "%0A" 값을 삽입하여 전송하는 경우 check_url_host 함수 우회 취약점 수정 (Pocas님)

2021-12-08 10:38:18 +09:00
parent 7a054e1dbb
commit d87802eb94
1 changed files with 1 additions and 1 deletions
--- a/lib/common.lib.php
+++ b/lib/common.lib.php
@ -3299,7 +3299,7 @@ function check_url_host($url, $msg='', $return_url=G5_URL, $is_redirect=false)
    if(!$msg)
        $msg = 'url에 타 도메인을 지정할 수 없습니다.';

-    $p = @parse_url($url);
+    $p = @parse_url(trim($url));
    $host = preg_replace('/:[0-9]+$/', '', $_SERVER['HTTP_HOST']);
    $is_host_check = false;