라이믹스는 2.1.6 버전을, XE는 비공식 1.11.14 버전을 적용하시면 됩니다.
공격자가 타인의 쪽지를 무단 열람할 수 있는 심각한 취약점을 수정하는 패치입니다. 패치하지 않다가 쪽지 안 개인정보가 유출되는 경우 홈페이지 운영자가 민형사상의 책임을 져야 할 수도 있으므로 무조건 패치하시기 바랍니다.
덧) XE1 비공식 패치는 2022년 12월 31일 종료이나 이후에도 업데이트가 계속되는 이유는 종료 이후 발견된 취약점이 모두 하나같이 치명적인 취약점 뿐이기 때문입니다. 특히 XE1 공식사이트는 아직도 보안 취약점이 패치되지 않은 위험한 상태 그대로이니 혹시 가입되어 있다면 개인정보 유출 사고 발생 전 탈퇴하시기를 권장드립니다.
외부페이지 템플릿 해석 기능은 보안 문제로 꺼져 있습니다.
비공식 XE1 업데이트는 라이믹스 업그레이드 전 임시로 이용할 목적으로 제작되었습니다. 라이믹스는 선택적으로 사용 가능하도록 패치되었으나 비공식 XE1 업데이트는 패치되지 않았으며 앞으로도 패치할 계획은 없습니다.
한시빨리 라이믹스로 업그레이드하시는걸 추천드립니다.
(수정) 반드시 필요하다면 php 코드는 그대로 해석하므로 php 문법으로 작성하시면 됩니다.
if(!Mobile::isMobileCheckByAgent()) { ?>
출력할 내용
<?php }
참고 링크 : https://rhymix.org/news/334 ([RVE-2022-2] 외부페이지의 템플릿 문법을 이용한 원격 코드 실행(RCE) 취약점 부분)
확인해보겠습니다(익명 노출부분은 보안 관련 부분이라 수정 진행합니다)
단 수정 완료일자는 언제일지 답변드릴수 없습니다.
추가로 여의치 않으면 익명게시판에서 임시저장을 차단하는 등 기능을 제거하는 방향으로 업데이트될수 있는점 유의바랍니다. 비공식 XE1 업데이트는 언제까지나 임시방편일뿐입니다.
https://xetown.com/thirdpartynews/1789215 1.11.15 버전에서 수정되었습니다.
노파심에 다시 말씀드리지만 XE1 비공식 업데이트는 라이믹스로 업데이트 전 테스트 기간 동안 사이트 안전을 위해 임시 적용할 목적으로만 사용하여야 하며 이 버전을 장기간 사용하는것은 충분히 여러 상황에서 테스트되지 못하였으므로 권장하지 않습니다.(이 사례와 같은 버그가 추가 존재할수 있습니다)
XE1 비공식 업데이트 버전 1.11.14 업데이트 후
외부페이지에 있는 <block cond="!Mobile::isMobileCheckByAgent()">
위의 코드가 적용이 안됩니다.
모바일이나 PC 나 둘다 조건이 적용되지 않고 전부 출력이 됩니다.