Rhymix 2.1.31 Release Notes SECURITY

라이믹스 2.1 버전대의 버그 수정 릴리즈로, 보안패치가 포함되어 있습니다.

보안취약점 수정

• [RVE-2026-1] 확장변수를 통해 임의의 파일을 참조할 수 있는 문제 (IDOR)
  • 2.1.18부터 도입된 "파일 업로드" 형식의 확장변수를 사용하는 게시판이 있다면 반드시 패치해 주세요.
  • Minh Tú Trần (tranminhtu2506@gmail.com, @tranminhtu2506) 님이 제보해 주셨습니다.
• [RVE-2026-2] SVG 파일 업로드를 통한 XSS 취약점
  • 1.9.8.2부터 적용된 SVG 필터링 코드에 허점이 발견되어 더욱 강화합니다.
  • 앞으로 일반 사용자가 업로드하는 SVG 파일은 입력값 필터링 과정에서 자동으로 수정될 수 있습니다.
  • 이미지를 현재 창에서 다운로드하도록 설정하였더라도, 앞으로 SVG에는 적용되지 않습니다.
  • SVG 이미지는 다른 이미지 포맷과 달리 XML 기반의 문서이므로 위험한 태그를 포함할 수 있습니다. 꼭 필요하지 않다면 일반 사용자의 SVG 이미지 업로드를 허용하지 않는 것을 추천합니다.
  • KISA에서 알려 주셨습니다. (KVE-2026-0227)

새 기능과 변경 사항

• 회원 목록에서 관리자 메모를 검색하는 기능 추가 (#2676)

개발자를 위한 새 기능과 변경 사항

• jQuery 3.6.3 → 3.7.1, jQuery Migrate 3.4.0 → 3.6.0으로 업데이트
• 신규 설치 또는 XE에서 업그레이드할 때 적용되는 기본 jQuery 버전을 2.x에서 3.x로 변경
  • 기존 사이트에서 2.x로 설정한 경우에는 영향이 없습니다.
  • jQuery 2.x는 알려진 보안취약점이 있으므로 사용을 권장하지 않으며, 가까운 미래에 라이믹스에서 제거될 수 있으니 서드파티 자료 제작시 주의하시기 바랍니다.
  • jQuery 4.x는 jQuery Migrate 플러그인이 안정화된 후 지원할 예정입니다.

버그 수정

• 일부 환경에서 encodeIdna() 처리 도중 치명적인 오류가 발생하여 백지 화면이 뜨는 문제 수정 (#2675)
• 오래된 files/theme/theme_info.php 파일이 남아 있는 경우 PHP 8에서 오류가 뜨는 문제 수정 (#2677)
• 문서 페이지에서 모바일 버튼을 클릭하면 Template not found 오류가 뜨는 문제 수정 (#2679)
• 문서 페이지 편집시 비효율적인 쿼리가 발생하는 문제 수정
• 페이지 모듈에 포함된 XML filter의 오타 수정

정리

• 오래된 XE 테마 시스템과 관련된 코드 삭제