커뮤니티토픽게시판

이번에 NSTORE 모듈을 사용중인 사이트에서 게시판스킨을 구매하게 되었는데요

실제 입금은 완료하였지만 아직 판매자가 승인은 해주지 않은 상태입니다.

(정상적인 다운로드 절차를 밟으면 권한이 없다고 출력됩니다. 이게 정상이지요)

 

허나 다운로드 페이지에서 이것저것 구경하면서 뻘짓을 하고 있다가 

중대한 취약점을 알게 되었습니다.

 

내용은 관리자가 승인처리해주지 않은 디지털파일을 다운로드 받을 수 있는 취약점 입니다.

즉, 미결제 상태에서도 NSTORE 모듈을 이용한 쇼핑몰에서 정상 구매자처럼 디지털파일을 받게되는 경우 입니다.

 

위 취약점에 대해 제보를 하고자 하는데 공개적인 곳에 제보를 하게되면

현재 이 모듈을 사용중인 모든 사이트가 영향을 받게될테니.. 개발진에게 조심스럽게 전달해야 될것 같습니다.

NSTORE모듈이 누리고쇼핑몰 모듈인가요? act파라미터에서는 NSTORE로 시작하는것 보니 모듈이 NSTORE인듯 합니다.

 

어느곳으로 제보해야 되는걸까요...?

 

 

  • ?
    https://github.com/nurigo-world/xe-module-nstore
  • ? profile
    깃헙에 제보를 하는것도 생각을 해보았는데... 제가 지금껏 본 이슈들은 모두 공개상태 이기에 제외하였거든요
    깃헙에서 이슈등록시 프로젝트 관리자만 확인가능하도록 비공개로 등록하는것이 가능한가요?
    한번 깃헙가입하고 확인해보아야 겠네요 답변 감사합니다.
  • profile profile
    원본 저장소는 몇 년째 방치된 상태이고, 지금은 @람보님이 누리고 유지보수를 하고 계신 것으로 알고 있습니다.
    https://github.com/bjrambo/nurigo 여기도 재작년이 마지막 커밋이긴 합니다만...
    2015년이 마지막 커밋인 기존 저장소보다는 그래도 상태가 나아 보이네요.
    비공개 제보를 하시려면 람보님께 쪽지나 메일을 보내보세요.
  • profile profile
    깃헙에 제보시 해당 부분이 개선될때까지 그리고 각 모듈 사용자가 버전업 할때까지
    취약점이 공개되기 때문에 깨름칙 했는데... 마침 람보님께서 해당 모듈의 개발에 참여하고 계셨군요
    람보님에게 제보하도록 하겠습니다. 감사합니다.
  • profile profile

    Screenshot_20190216-163645_Chrome.jpg

    develop 은가끔 업데이트중이예요.

  • profile profile
    마침 접속중이셨네요. 회원정보의 번호로 카톡을 드렸는데 확인 가능하신가요?
    재현영상 함께 보내드리도록 하겠습니다.
  • profile profile
    메일로주세요
  • profile profile
    메일 보냈습니다~
  • profile ?
    수고하셨습니다.