We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
댓글 작성 권한은 있지만, 해당 글이 비밀글인 경우, exec_json()으로 board.procBoardInsertComment를 직접 호출하면 별도의 권한 체크 없이 댓글이 등록되네요. 최고관리자나 게시글 작성자가 아니여도, 댓글 등록이 됩니다.
XE 시절부터 잔존해있던 버그인 것 같습니다.
The text was updated successfully, but these errors were encountered:
실제 비밀글 내용이 타인에게 노출되지 않는다면 보안취약점이라고 보기는 어렵습니다. 그냥 글쓴이를 귀찮게 만들 수 있는 버그일 뿐...
Sorry, something went wrong.
혹시나 확인해봤는데 기본스킨 기준 비밀글 본문이나 자신이 단 댓글 포함 댓글을 확인할 수 없습니다. 필요시 비밀글을 확인할 권한이 없다면 댓글 작성을 거부하는 애드온을 작성해 적용하면 될것 같습니다.
댓글 작성 시 포인트가 지급이 되는데, 혹시나 포인트 지급이 되는 게시판이라면 어뷰징 가능성이 있을 것 같습니다
51a910a
No branches or pull requests
댓글 작성 권한은 있지만, 해당 글이 비밀글인 경우, exec_json()으로 board.procBoardInsertComment를 직접 호출하면 별도의 권한 체크 없이 댓글이 등록되네요. 최고관리자나 게시글 작성자가 아니여도, 댓글 등록이 됩니다.
XE 시절부터 잔존해있던 버그인 것 같습니다.
The text was updated successfully, but these errors were encountered: