공식패치가 배포되었습니다.
XE 1.8.12버전으로 업데이트해주세요.
https://xe1.xpressengine.com/devlog/23092863
https://xetown.com/square/24799
해당 취약점을 활용하면 관리자가 아니라도 회원삭제를 하거나 심지어 관리권한까지 획득할 수 있는 것으로 파악됩니다.
너무 무서운 버그입니다. ㄷㄷ;; 즉시 패치하시기바랍니다.
문제 대상 : XE 1.8.11 버전을 포함한 XE 전 버전
아래는 보안패치가 나올 때까지 임시 해결방법입니다.
./classes/module/ModuleHandler.class.php 383줄
// check REQUEST_METHOD in controller
if($type == 'controller')
{
$allowedMethod = $xml_info->action->{$this->act}->method;
부분을
// check REQUEST_METHOD in controller
if(stripos($this->act, 'proc') !== FALSE)
{
preg_match('/^([a-z]+)([A-Z])([a-z0-9\_]+)(.*)$/', $this->act, $matches);
$real_module = strtolower($matches[2] . $matches[3]);
$real_module_info = $oModuleModel->getModuleActionXml($real_module);
$allowedMethod = $real_module_info->action->{$this->act}->method;
으로 변경하세요.
패치후 일부 기능이 작동되지않을 수 있습니다. 아래 게시물을 참조하여 수정하시면 됩니다.
https://xetown.com/lakepark/25555