11월 6일과 8일에 걸쳐 CKEditor 가 4.11.0, 4.11.1 로 업데이트 되었습니다. 4.11.0 에서 4.11.1 로의 업데이트는 emoji 플로그인 관련 오류 업데이트로 마이너한 업데이트입니다.
중요한 업데이트는 4.11.0 때 있었는데요. 업데이트 된 이슈를 보면, 공격자가 CKEditor 에서 "소스" 모드를 통해 특수 HTML 코드를 붙여넣기 한 후 XSS 를 실행할 수 있었다고 합니다.
공격자가 정확히 어떤 HTML 코드를 사용했는지 공개되지 않아서, XE나 라이믹스의 코어에서 이 공격을 막을 수 있는지는 모르겠습니다.
아무튼 CKEditor 제작팀에서는 An upgrade is highly recommended! 라고 하니깐 현 최신버전인 4.11.1 로 업데이트를 해주는 것이 좋지 않을까 합니다.
(당장 업데이트가 힘드신 분들은 임시 해결책으로 일단 "소스" 모드를 사용하지 않게 하시면 될 것 같습니다. 엄... 아니면 관리자 페이지의 "게시판 관리"로 가셔서, 각 게시판들마다 "추가 설정"에서 "위지윅 에디터 - HTML 편집 권한"을 관리그룹만 이용하도록 변경하셔도 될 것 같구요.)