KLDP.net:환영합니다.: MoniWiki: Detail: 300575 업로드에 관한 보안버그 수정 plugin/UploadFile.php

skip menu and go to main content

body start

MoniWiki

Resolved 업로드에 관한 보안버그 수정 plugin/UploadFile.php [ 2 ]

04.11.08-04:57:06

300575

Submitted by 양홍모

Assignee wkpark

Priority5

업로드시에 파일 확장자를 기본적으로 걸러내게 되어있는데

이 것이 제대로 이루어지지 않음 php를 확장자로 하고 있는 파일을

업로드 할 경우 업로드가 금지되었다는 메세지만 나오고 업로드는 실제로 이루어짐

[[UploadedFiles]] 를 페이지에 추가하면 그 파일(업로드 금지된) 을 볼수있음

첨부파일 올립니다... 수정한 곳은 주석 달아 놓았습니다

(주석이 영어로 달려있다니 ㅠ_ㅠ)

kldp 처음이라 그냥 파일 통째로 올립니다 -_ -;

UploadFile.php (7 KB)

Comments on this artfact

2 Comments

양홍모

File added 132: UploadFile.php

04.11.08-04:57:06

양홍모

아참 -_- 버전은 1.0.9.1입니다

04.11.08-04:58:04

wkpark

"Assigned To" was changed from "Nobody" to "wkpark"
"Priority" was changed from "5" to "5"
"resolution_id" was changed from "100" to "None"

04.11.08-22:25:30

wkpark

참고로 이번 보안버그때문에 고쳐야 하는 부분은 다음과 같습니다.

plugin/UploadFile.php의 다음 부분을 고쳐주세요.

$pds_exts="png|jpg|jpeg|gif|mp3|zip|tgz|gz|txt|css|exe|hwp";
- if (!preg_match("/(".$pds_exts.")$/i",$fname[2]))
+ if (!preg_match("/(".$pds_exts.")$/i",$fname[2])) {
$msg.=sprintf(_("%s does not allowed to upload"),$upfilename)."<br/>\n";
+ continue;
+ }

04.11.08-22:55:23

wkpark

"State" was changed from "Open" to "Closed"

04.11.15-21:36:43

Monitor View list

MoniWiki

Resolved 업로드에 관한 보안버그 수정 plugin/UploadFile.php [ 2 ]

Comments on this artfact

Are you sure you want to delete this artifact?

Are you sure you want to delete this file?

Are you sure you want to delete this comment?