Skip to content

fix: 보안 취약점 긴급 패치#241

Merged
sdk-kr merged 2 commits into
mainfrom
fix/gam-groups-page
Mar 4, 2026
Merged

fix: 보안 취약점 긴급 패치#241
sdk-kr merged 2 commits into
mainfrom
fix/gam-groups-page

Conversation

@sdk-kr
Copy link
Copy Markdown
Contributor

@sdk-kr sdk-kr commented Mar 4, 2026

Summary

  • 테마/플러그인 업로드 API에 관리자 인증(level >= 10) 추가
  • /api-test, /api-docs, /install 프로덕션에서 404 차단
  • 글로벌 API rate limiting (읽기 120/분, 쓰기 30/분)
  • 게시글 수정 페이지에 작성자 본인 확인 추가

보안 이슈 대응

취약점 심각도 조치
테마 업로드 인증 없음 CRITICAL 관리자 인증 추가
플러그인 업로드 인증 없음 CRITICAL 관리자 인증 추가
/api-test, /api-docs 공개 HIGH 프로덕션 차단
Rate limiting 부재 HIGH 글로벌 rate limit 추가
수정 페이지 권한 미흡 MEDIUM 작성자 확인 추가

Test plan

  • 비로그인 시 테마/플러그인 업로드 → 401
  • 일반 사용자 업로드 → 403
  • /api-test 접속 → 404
  • 빠른 연속 API 호출 → 429
  • 타인 글 수정 시도 → 403

Deploy Bot and others added 2 commits March 5, 2026 07:15
@claude
fix: GAM 광고 빌드 수정 + 소모임 전체 목록 페이지 추가
65e772b 
- CI에서 .env 파일 명시적 생성 (VITE_GAM_NETWORK_CODE 번들 포함 보장)
- 빌드 후 GAM 네트워크 코드 검증 단계 추가 (누락 시 빌드 실패)
- /groups 소모임 전체 목록 SSR 페이지 신규 (DB 캐시 10분)
- 로그인 페이지 리팩토링

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
fix: 보안 취약점 긴급 패치
a9549d9 
- 테마/플러그인 업로드 API에 관리자 인증 추가 (401/403)
- /api-test, /api-docs 프로덕션에서 404 차단
- 글로벌 API rate limiting (읽기 120/분, 쓰기 30/분)
- 게시글 수정 페이지에 작성자 본인 확인 추가
@sdk-kr sdk-kr merged commit 2a1cc08 into main Mar 4, 2026
10 of 12 checks passed
@sdk-kr sdk-kr deleted the fix/gam-groups-page branch March 4, 2026 23:11
sdk-kr added a commit that referenced this pull request Mar 7, 2026
@sdk-kr @claude
fix: 보안 취약점 긴급 패치 (#241)
0382b05 
## Summary
- 테마/플러그인 업로드 API에 관리자 인증(level >= 10) 추가
- `/api-test`, `/api-docs`, `/install` 프로덕션에서 404 차단
- 글로벌 API rate limiting (읽기 120/분, 쓰기 30/분)
- 게시글 수정 페이지에 작성자 본인 확인 추가

## 보안 이슈 대응
| 취약점 | 심각도 | 조치 |
|--------|--------|------|
| 테마 업로드 인증 없음 | CRITICAL | 관리자 인증 추가 |
| 플러그인 업로드 인증 없음 | CRITICAL | 관리자 인증 추가 |
| /api-test, /api-docs 공개 | HIGH | 프로덕션 차단 |
| Rate limiting 부재 | HIGH | 글로벌 rate limit 추가 |
| 수정 페이지 권한 미흡 | MEDIUM | 작성자 확인 추가 |

## Test plan
- [ ] 비로그인 시 테마/플러그인 업로드 → 401
- [ ] 일반 사용자 업로드 → 403
- [ ] /api-test 접속 → 404
- [ ] 빠른 연속 API 호출 → 429
- [ ] 타인 글 수정 시도 → 403

---------

Co-authored-by: Deploy Bot <deploy@damoang.net>
Co-authored-by: Claude Opus 4.6 <noreply@anthropic.com>
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@sdk-kr