SIR
리자

그누보드 4.37.24

관리자
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 11년 전 · 9070 · 7
4.37.24 (2015.01.16)
: SQL Injection 취약점이 발견되어 수정 (한국인터넷진흥원 취약점 담당자 최명균님이 알려주셨습니다.)

skin/member/basic/ajax_mb_email_check.php

} else if (!preg_match("/^([0-9a-zA-Z_-]+)@([0-9a-zA-Z_-]+)\.([0-9a-zA-Z_-]+)$/", $reg_mb_email)) {

첨부파일

gnuboard4.utf8.tgz (1.3 MB) 1061회 2015-01-16 17:24
gnuboard4.euckr.tgz (1.3 MB) 292회 2015-01-16 17:24
|
글쓰기

댓글 7개

디엔피큐
프로필 보기이 회원 글보기이 회원의 댓글보기
 11년 전
감사합니다.
東問西答
프로필 보기이 회원 글보기이 회원의 댓글보기
 11년 전
감사합니다.
호동
프로필 보기이 회원 글보기이 회원의 댓글보기
 11년 전
오류(?) 오타(?) 발견

어디로 제보 해야할지 몰라서 여기에 답글로 남겨 놓습니다.

그누보드폴더/adm/auth_update.php 파일에

update 쿼리 부분...

$sql = " insert into $g4[auth_table]
set mb_id = '$_POST[mb_id]',
au_menu = '$_POST[au_menu]',
au_auth = '$_POST[r],$_POST[$w],$_POST[$d]' ";
$result = sql_query($sql, FALSE);
if (!$result) {
$sql = " update $g4[auth_table]
set au_auth = '$_POST[r],$_POST[$w],_POST[$d]'
where mb_id = '$_POST[mb_id]'
and au_menu = '$_POST[au_menu]' ";
sql_query($sql);
}

위에가 원본 소스 내용 입니다.

set au_auth = '$_POST[r],$_POST[$w],_POST[$d]'
요기에 마지막 삭제 권한 수정 _POST 앞에 $ 표시가 빠진듯 합니다.
insert 에는 맞게 되어 있는데... update 부분에만 없네요~
바보천사
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
정말 그러네요. 지음빌더에는 수정 했습니다. ^^
카이루
프로필 보기이 회원 글보기이 회원의 댓글보기
 11년 전
헐 아직도 업그레이드 ^^
亞波治
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
감사합니다....^^
hhoinV
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
감사합니다. 그누보드가 있어서 얼마나 다행인지 모르겠어요~!
이전글목록다음글
댓글을 작성하시려면 로그인이 필요합니다. 로그인

그누4 다운로드

여러분께서 보고 계시는 이 사이트는 그누보드4 최신버전으로 제작, 운영되고 있습니다. SIR은 그누보드를 만들 뿐 프로그램의 설치, 운영방법, 설정문제에 관한 도움을 드리지는 않습니다.

+
제목 글쓴이 날짜 조회
10년 전 조회 6,492
10년 전 조회 8,737
10년 전 조회 2만
10년 전 조회 7,971
10년 전 조회 8,100
10년 전 조회 7,240
10년 전 조회 8,035
10년 전 조회 1.3만
10년 전 조회 1만
11년 전 조회 9,071
11년 전 조회 9,568
11년 전 조회 1.3만
11년 전 조회 1.3만
11년 전 조회 1.3만
11년 전 조회 5,596
11년 전 조회 4,880
11년 전 조회 1만
11년 전 조회 7,107
11년 전 조회 6,854
11년 전 조회 5,514
이전 첫 페이지 다음
글쓰기
🐛 버그신고