Rhymix 2.1.33 Release Notes SECURITY

라이믹스 [관리자]

2026.05.12 11:44

라이믹스 2.1 버전대의 버그 수정 릴리즈로, 보안패치가 포함되어 있습니다.

보안취약점 수정

[RVE-2026-7] 썸네일 생성 기능을 통해 내부 정보에 접근할 수 있는 문제 (SSRF)
- 외부 이미지는 썸네일 생성에 사용하지 않는 것으로 기본값이 변경되었습니다. 외부 이미지를 사용하여 썸네일을 생성할 필요가 있는 사이트로서 내부망에 민감한 리소스가 존재하지 않는다면 "시스템 설정" → "고급 설정" 탭에서 설정을 변경하여 기존과 같이 동작하도록 할 수 있습니다.
- KISA에서 알려 주셨습니다. (KVE-2026-0726, KVE-2026-0784)
[RVE-2026-8] 세션 ID가 갱신되지 않는 문제
- 로그인 후, 관리자 화면 접속 후, 그 밖에 일정한 시간 간격으로 세션 ID를 자동 갱신합니다.
- 이번 보안패치로 인해 SSO 기능이 더이상 작동하지 않으므로 제거하였습니다.
- 참고: XE 952번 이슈 (2014년), XE 1245번 이슈 (2015년)
- KISA에서 알려 주셨습니다. (KVE-2026-0728)
[RVE-2026-9] 자동 링크 (autolink) 애드온의 XSS 취약점
- KISA에서 알려 주셨습니다. (KVE-2026-0796, KVE-2026-0842)
[RVE-2026-10] 외부 페이지를 통한 잠재적 RCE 취약점
- KISA에서 알려 주셨습니다. (KVE-2026-0796)
[RVE-2026-11] Photoswipe 애드온의 XSS 취약점
- KISA에서 알려 주셨습니다. (KVE-2026-0840)
[RVE-2026-12] 권한 없는 파일을 임의로 삭제할 수 있는 문제
- KISA에서 알려 주셨습니다. (KVE-2026-0868)

새 기능과 변경 사항

관리자 파일 목록을 file_srl이 아닌 업로드 시간순으로 정렬하도록 변경
회원 모듈의 "닉네임 중복 허용" 옵션을 항상 표시하도록 변경
회원 모듈의 아이디/비밀번호 무한 대입 방지 기능에서 예외 처리할 IP 대역을 설정할 수 있도록 지원
설정하지 않은 도메인 접속시 "접속 허용" (기존 "메인 화면 표시") 옵션을 권장하지 않는다는 메시지 추가
커뮤니케이션 모듈에서 친구 기능을 사용하지 않는 경우, 쪽지 수신 설정 및 회원가입 화면 등에서 "친구만 허용" 옵션을 숨기도록 변경 (#2702)

개발자를 위한 새 기능과 변경 사항

document.getThumbnail (before) 이벤트 핸들러에서 파일명과 URL 등을 변경할 수 있도록 지원 (#2693)
스크랩 취소 후 "삭제되었습니다." 메시지 추가 (#2694)
member.procMemberCheckValue, member.procMemberModifyInfo 이벤트 추가 (#2698, #2700)
document.insertCategory, document.updateCategory, document.deleteCategory 이벤트 추가
point.setPoint 이벤트에서 포인트 변동 원인(글쓰기, 추천 등)에 대한 정보를 함께 전달하도록 개선

버그 수정