이번에 NSTORE 모듈을 사용중인 사이트에서 게시판스킨을 구매하게 되었는데요
실제 입금은 완료하였지만 아직 판매자가 승인은 해주지 않은 상태입니다.
(정상적인 다운로드 절차를 밟으면 권한이 없다고 출력됩니다. 이게 정상이지요)
허나 다운로드 페이지에서 이것저것 구경하면서 뻘짓을 하고 있다가
중대한 취약점을 알게 되었습니다.
내용은 관리자가 승인처리해주지 않은 디지털파일을 다운로드 받을 수 있는 취약점 입니다.
즉, 미결제 상태에서도 NSTORE 모듈을 이용한 쇼핑몰에서 정상 구매자처럼 디지털파일을 받게되는 경우 입니다.
위 취약점에 대해 제보를 하고자 하는데 공개적인 곳에 제보를 하게되면
현재 이 모듈을 사용중인 모든 사이트가 영향을 받게될테니.. 개발진에게 조심스럽게 전달해야 될것 같습니다.
NSTORE모듈이 누리고쇼핑몰 모듈인가요? act파라미터에서는 NSTORE로 시작하는것 보니 모듈이 NSTORE인듯 합니다.
어느곳으로 제보해야 되는걸까요...?
