관리페이지에서 환경설정을 저장할 때 변조된 데이터가 사용될 수 있는 문제

[kkigomi]

adm/config_form.php 파일에서 환경설정을 변경할 수 있는 폼을 출력할 때 환경설정 데이터를 가져오는 부분으로 인한 문제입니다.

DB에서 가져온 데이터를 사용하는 대신 변조 가능성이 있는 $config 전역변수의 데이터를 신뢰하여 사용하기 때문에 플러그인, 테마, 스킨 등에서 $config 데이터를 일부 변조할 경우 영향을 받을 수 밖에 없습니다.

변조 가능성이 있는 데이터를 사용하지 않고 DB에서 다시 가져와 사용할 수 있도록 변경하는 것이 안전해 보입니다.

[thisgun]

안녕하세요. SIR 입니다.

의견 주셔서 감사합니다.

다음 패치에 아래와 같이 수정하겠습니다.

fae53d3