11월 6일과 8일에 걸쳐 CKEditor 가 4.11.0, 4.11.1 로 업데이트 되었습니다. 4.11.0 에서 4.11.1 로의 업데이트는 emoji 플로그인 관련 오류 업데이트로 마이너한 업데이트입니다.

 

중요한 업데이트는 4.11.0 때 있었는데요. 업데이트 된 이슈를 보면, 공격자가 CKEditor 에서 "소스" 모드를 통해 특수 HTML 코드를 붙여넣기 한 후 XSS 를 실행할 수 있었다고 합니다.

 

공격자가 정확히 어떤 HTML 코드를 사용했는지 공개되지 않아서, XE나 라이믹스의 코어에서 이 공격을 막을 수 있는지는 모르겠습니다.

 

아무튼 CKEditor 제작팀에서는   An upgrade is highly recommended!  라고 하니깐 현 최신버전인 4.11.1 로 업데이트를 해주는 것이 좋지 않을까 합니다.

 

(당장 업데이트가 힘드신 분들은 임시 해결책으로 일단 "소스" 모드를 사용하지 않게 하시면 될 것 같습니다. 엄... 아니면 관리자 페이지의 "게시판 관리"로 가셔서, 각 게시판들마다 "추가 설정"에서 "위지윅 에디터 - HTML 편집 권한"을 관리그룹만 이용하도록 변경하셔도 될 것 같구요.)

  • profile
    좋은정보 감사합니다.
  • profile profile
    감사합니다! ^^
  • profile
    실 공격 코드가 없어 확인할수는 없지만 XE/라이믹스 모두 일반 사용자가 입력한 html은 필터링을 거쳐서 저장하니 문제가 되진 않을 겁니다.

    스스로 문제가 되는 소스코드를 입력후 에디터 모드로 돌아오는 순간 문제가 될 가능성은 있습니다만 이것 또한 관리자가 조심하면 당하지 않을수 있습니다(타인 소스코드 복붙 자제 등)
  • profile profile

    네. 저도 코어에서 필터링을 해주기를 바라는데. 공격 코드를 알 수 없으니...;; 암튼 YJSoft 님께서 이렇게 말씀해 주셔서 안심이 됩니다. 감사합니다.