비밀글에 댓글을 작성할 수 있는 버그가 있습니다.

[smaker]

댓글 작성 권한은 있지만, 해당 글이 비밀글인 경우, exec_json()으로 board.procBoardInsertComment를 직접 호출하면 별도의 권한 체크 없이 댓글이 등록되네요. 최고관리자나 게시글 작성자가 아니여도, 댓글 등록이 됩니다.

XE 시절부터 잔존해있던 버그인 것 같습니다.

[kijin]

실제 비밀글 내용이 타인에게 노출되지 않는다면 보안취약점이라고 보기는 어렵습니다. 그냥 글쓴이를 귀찮게 만들 수 있는 버그일 뿐...

[Lastorder-DC]

혹시나 확인해봤는데 기본스킨 기준 비밀글 본문이나 자신이 단 댓글 포함 댓글을 확인할 수 없습니다. 필요시 비밀글을 확인할 권한이 없다면 댓글 작성을 거부하는 애드온을 작성해 적용하면 될것 같습니다.

[smaker]

댓글 작성 시 포인트가 지급이 되는데, 혹시나 포인트 지급이 되는 게시판이라면 어뷰징 가능성이 있을 것 같습니다