Textcube : Brand yourself!

게토 · 2009-05-28 21:16:35

텍스트큐브에서는 필진 권한이 3가지 있습니다.
이 중에서 스킨 변경 등 블로그의 중요한부분을 수정할 수 있는 권한은 '운영자'권한 뿐입니다.

그런데 '글관리'권한을 가진 필진이 로그인 한 뒤에 주소창에 직접 해당 주소(예 : http://getoclover.com/tc/owner/skin/edit)을 입력하면 스킨변경이 가능한 아주 중대한 버그를 발견했습니다.

위의 사항은 필진권한을 사용하는 모든 부분에서 나타나고 있으며 권한관리 로직 자체의 결함으로 보입니다.

이 문제는 텍스트큐브 권한의 취약점을 보여준 사례입니다.

일부 필진이 악의를 품었을 경우 매우 위험한 상태로 만들 수 있게 됩니다.

조속히 해결되기 바랍니다.

inureyes · 2009-05-28 22:58:02

/library/components/Textcube.Control.Auth.php 의 32번째 줄

32 '/owner/setting*',

아래에
33 '/owner/skin*',

한 줄을 추가해서 해당 문제가 수정되는지 한 번 테스트를 부탁 드립니다.

"Everything looks different on the other side."

-Ian Malcomm, from Michael Crichton's 'The Jurassic Park'

메인메뉴