해당 모듈들에 캐시 파일 삭제 기능을 사용시, 라이믹스 및 XE 전체 데이터를 삭제 할 수 있는 취약점이 있습니다.

 

라이믹스 최신버전으로 업데이트 하신다면 해당 문제는 없으나 기존 XE버전 모듈을 사용하시거나 라이믹스 2.1.15 미만의 버전을 사용하시는 경우 라이믹스폴더 혹은 XE폴더 통째로 삭제가 진행될 수 있습니다.

 

사용에 주의하시기 바랍니다.

 

람보

profile
람보입니다.
  • ?
    상황에 따라 삭제 될 수도 있고 안될 수도 있다는 의미일까요? 아님 2.1.15버전 미만에서 해당 모듈의 캐시파일 삭제하면 전체 데이터가 삭제 된다는 의미일까요?
  • ? profile
    상황에 따라 삭제 될 수 있고 안될 수 있는 상황이 잇는데 확실한건 라이믹스 2.1.15 미만 버전에서 전체 파일이 삭제 된 경험이 있는 상황이 있습니다.

    연속으로 누르는경우 혹은 한번 눌렀을때 타이밍이 안맞아서 삭제되는 경우 등등 여러조건에 따라 발생될 수 있는 사항들입니다.

    확실한건 그런 전례가 있으니 주의를 해야합니다.
  • profile ?
    감사합니다. 혹시 몰라 2.1.15버전 이하 사이트에 캐시파일 삭제 버튼을 주석처리 해 놓았네요.
    빠른시일내에 버전 업 해야겠네요.
  • profile

    주로 PHP 8.x에서 발생하는 문제로 추측됩니다. 클래스명과 동일한 함수명을 더이상 생성자로 인식하지 않기 때문에, 모듈에서 사용하는 경로 변수가 초기화되지 않아서 엉뚱한 폴더를 삭제하게 됩니다.

     

    라이믹스 2.1.15 이상에서는 해당 삭제 코드가 통하지 않도록 콕 찝어서 막아 버렸습니다. 물론 그렇다고 해서 잘못된 코드가 고쳐지지는 않습니다. 코어가 방탄조끼를 입었을 뿐, 모듈은 계속 총을 난사하고 있으니까요.

    오래된 자료에서 오류나는 부분만 대충 땜빵하여 최신 PHP에서 돌아가도록 만드는 경우가 종종 있는데, 너무 오래된 방식으로 작성된 코드는 오류조차 뿜지 않고 그냥 조용히 무시되어서 더 큰 문제를 일으킬 수 있습니다. 생성자는 __construct라고 쓰라고 한 지 20년이 넘었건만...