지난 2월 25일, 권한 없이 글을 삭제할 수 있는 심각한 취약점이 발견되었고, 곧 바로 긴급 1.8.31 패치가 올라왔습니다.
그 후로도 보안 취약점들이 속속들이 발견되었는 데요.
예컨대, 매니저만 할 수 있는 에디터, 문서, 댓글 설정을 권한 없는 사용자도 가능 했었습니다.
(이 취약점을 이용한 공격은 XE타운도 받은 바 있습니다.)
그리고 3월 2일, 글쓴이 권한을 획득할 수 있는 심각한 취약점이 발견되었습니다. 글쓴이 권한이기 때문에 글에 대한 모든 권한이 부여됩니다.
이 취약점을 이용하면 아래와 같은 행위를 할 수 있습니다.
- 타인이 쓴 글을 마음대로 삭제나 수정할 수 있습니다.
- 타인이 쓴 비밀글을 마음껏 볼 수 있습니다. (어떤 비밀일까나?!) (물론, 비밀글에 있는 첨부 파일 다운로드도 가능)
[경고] 이 글을 보는 즉시 패치하시기 바랍니다.
[참고] 2008년 부터 존재 해왔던 취약점 이기 때문에 XE/라이믹스 모든 버전(1.8.32 버전 이하)에 '이 취약점'이 존재 합니다.
이 취약점 패치 하기
https://github.com/rhymix/rhymix/commit/9615d85d815cb9df7b51c1151c659cefc01f5136
! XE와 라이믹스는 같은 취약점 유발 코드를 가지고 있습니다.
다른 보안 취약점도 있으니, 가능하면 XE/라이믹스 1.8.33 버전 으로 패치하시기 바랍니다.
XE 1.8.33 패치 다운로드
https://github.com/xpressengine/xe-core/releases/tag/1.8.33
https://xe1.xpressengine.com/index.php?mid=download&package_id=18325662&release_id=22755787
