| r15 vs r16 | ||
|---|---|---|
| ... | ... | |
| 39 | 39 | |
| 40 | 40 | == 진행상황 == |
| 41 | 41 | === 더시드위키에서 === |
| 42 | ACL 조정은 [[admin]] 권한이 있어야 가능하나, 이 권한은 대부분의 사용자들이 아무 제약 없이 받을 수 있는 권한이기에 발견 즉시 모든 사용자의 ACL 조정 | |
| 42 | ACL 조정은 [[admin]] 권한이 있어야 가능하나, 이 권한은 대부분의 사용자들이 아무 제약 없이 받을 수 있는 권한이기에 발견 즉시 모든 사용자의 ACL 조정이 [[https://theseed.io/thread/AwfulAdDeliciousTurn|제한]]되었고, v4.28.0.897에서 해결된 것을 확인 후 ACL 조정이 제한 해제되었다. | |
| 43 | 43 | |
| 44 | 44 | === 기타 the seed engine을 사용하는 위키에서 === |
| 45 | 45 | [[admin]] 권한은 관리자에게만 부여되는 것이 정책이고, 취약점 자체도 최초 발견자가 더시드위키[* 정확히는 [[namu]]에게]에만 자세한 내용을 공개하였기 때문에 [[https://theseed.io/thread/RipeLuckyBrashWood]] 토론을 열람할 수 있었던 (= [[틀:정식 관리자 목록]]) 사용자를 제외하고는 해결 전까지 해당 취약점의 존재 자체를 알지 못했을 것으로 추정된다.[* 취약점 검증을 위한 ACL 조정은 사용자 문서에서 이루어졌기 때문에 최근 변경에 표시되지 않았고, 검증을 한 정식 관리자의 문서 기여 목록을 방문한 후, 해당 문서의 편집 창을 수동으로 접속하지 않은 이상 (상술했다시피 편집 버튼을 누르는 것만으로는 편집 요청으로 이동되므로 XSS 대상이 되지 않는다.) 취약점을 발견할 수 없었을 것이다.] |