🔴[P0] fix(api): admin upload file-serve route has no authentication check

[teddylee777]

컨텍스트 블록

Key	Value
Category	api
Checklist	ISS-API-06 — Admin API routes missing role-check middleware
Priority	P0 🔴
Scan Date	2026-04-16
Flagged By	@api-explorer

요약

• WHAT: GET /api/admin/upload/[filename] 라우트에 인증 검사가 전혀 없어, 파일명만 알면 누구나(로그인 없이도) 업로드된 admin 브랜딩/로고 자산을 직접 다운로드 가능
• WHY: 다른 모든 /api/admin/** 핸들러는 auth() + isAdmin() 가드를 거치지만 이 파일 서브 라우트만 무방비 — 관리자용 비공개 파일(로고 초안, 내부 이미지)이 인터넷에 노출됨
• WHERE: frontend/src/app/api/admin/upload/[filename]/route.ts:24 — GET 핸들러 본문
• SEVERITY: CRITICAL — 인증 완전 부재 + admin 도메인 리소스 공개 접근

Evidence

#	File	Line	Finding	Flagged By	Confidence
1	frontend/src/app/api/admin/upload/[filename]/route.ts	24	GET 핸들러에 auth() 호출 없음, 파일 시스템에서 즉시 읽어서 반환	@api-explorer	High
2	frontend/src/app/api/admin/upload/route.ts	35	POST(업로드)는 isAdmin 체크 존재 — 업로드는 보호, 다운로드는 미보호 (비대칭)	@api-explorer	High

영향 분석

영향 범위

• 모든 /api/admin/upload/* 경로로 저장된 자산 (로고, 브랜딩 이미지, admin-전용 아트워크)
• 타임스탬프 기반 파일명은 추측 가능 ({timestamp}-{original}.ext 패턴)
• 브루트포스 또는 외부 레퍼러 노출(브라우저 캐시, 로그 파일)로 파일명이 유출되면 즉시 외부 접근 가능

장애 시나리오

1. 관리자가 admin 콘솔에서 미공개 로고 시안을 업로드 (POST /api/admin/upload → 파일명 반환)
2. 반환된 파일명이 어떤 경로(브라우저 히스토리, 서버 로그, CDN 캐시)로든 외부에 유출
3. 비로그인 공격자가 GET /api/admin/upload/{filename}로 바로 다운로드 성공
4. 비공개 자산 유출, 감사 로그 미기록 → 탐지 어려움

긴급도

• 공개 노출 — 인터넷상 누구나 파일명 한 번에 접근 가능
• 기존 이슈 🟠[P1] fix(security): SSRF prevention incomplete — admin URL bypass and IPv6 gap #57 (SSRF) / 🟠[P1] fix(security): NEXT_PUBLIC_LANGCHAIN_API_KEY exposed to browser bundle #58 (API 키 노출)과 함께 admin 경계 보안이 전반적으로 취약함을 보여주는 패턴
• Next.js 기본 라우팅으로 이미 라이브 배포 중이라면 로그 포렌식으로 과거 접근 이력 확인 필요

제안 해결 방안

접근 방법

frontend/src/app/api/admin/upload/[filename]/route.ts:24 GET 핸들러 선두에 admin 가드 삽입:

import { auth } from \"@/lib/auth\";
import { isAdmin } from \"@/lib/auth/is-admin\";

export async function GET(req: NextRequest, { params }: { params: { filename: string } }) {
  const session = await auth();
  if (!session?.user || !isAdmin(session.user)) {
    return NextResponse.json({ error: \"Unauthorized\" }, { status: 401 });
  }
  // ... existing file serve logic
}

추가로 filename에 대한 path-traversal 방어 (이미 sanitize 되어 있는지 검증 — .. / 절대경로 거부).

대안

• 공개 허용 + obfuscated 파일명: UUID v4 기반 랜덤 파일명으로 추측 불가능하게 설계 → 보안 by obscurity로 안티패턴, 인증 없음을 정당화하지 않음
• Next.js middleware에서 일괄 처리: /api/admin/* 전체 매처로 middleware에서 인증 강제 → 가능하지만 기존 핸들러들이 이미 핸들러 레벨에서 가드하므로 일관성 위해 핸들러 레벨 유지 권장

수용 기준

• 비로그인 상태로 GET /api/admin/upload/any-file.png 호출 시 401 응답
• 일반 사용자(role=user) 로그인 상태로 호출 시 403 응답
• admin 로그인 상태에서만 200 + 파일 반환
• 테스트 추가: frontend/e2e/ 또는 frontend/src/app/api/admin/upload/[filename]/route.test.ts에서 3가지 케이스 검증
• 테스트 실행 커맨드: cd frontend && pnpm test 통과

참조

• 관련 파일: frontend/src/app/api/admin/upload/[filename]/route.ts, frontend/src/app/api/admin/upload/route.ts, frontend/src/lib/auth/require-auth.ts
• Checklist 항목: ISS-API-06 — Admin API routes missing role-check middleware
• 관련 이슈: 없음 (기존 이슈 🟠[P1] fix(security): SSRF prevention incomplete — admin URL bypass and IPv6 gap #57, 🟠[P1] fix(security): NEXT_PUBLIC_LANGCHAIN_API_KEY exposed to browser bundle #58, #59는 다른 라우트)

재현 방법

사전 조건

• dev 서버 실행 중 (cd frontend && pnpm dev)
• admin 콘솔에서 파일 1개 업로드 (반환된 filename 기록)

단계

1. 브라우저 private 창 열기 (인증 쿠키 제거)
2. http://localhost:3000/api/admin/upload/{filename} 접속
3. 응답 확인

기대 결과

401 Unauthorized

실제 결과

200 OK + 파일 바이너리 반환

관련 코드 컨텍스트

File	Role	Relevance
frontend/src/app/api/admin/upload/[filename]/route.ts	admin 업로드 파일 서브 엔드포인트	수정 대상
frontend/src/lib/auth/require-auth.ts	인증 헬퍼	재사용
frontend/src/app/api/admin/users/route.ts	동일 도메인 참조 핸들러	auth()+isAdmin() 패턴 참고

---

Detected by oh-my-braincrew `omb:issue` scan
Category: api | Scan date: 2026-04-16
`omb-issue-scan category=api checklist=ISS-API-06`

[teddylee777]

🔧 omb:resolve-issue — in-progress

Started: 2026-04-16T06:51:22Z
Status: in-progress

[teddylee777]

✅ omb:resolve-issue — completed

Started: 2026-04-16T06:51:22Z
Completed: 2026-04-16T06:28:00Z
Status: completed
PR: #76