라이믹스 2.1 버전대의 버그 수정 릴리즈로, 보안패치가 포함되어 있습니다.
보안취약점 수정
- [RVE-2026-3] 애드온 관리 화면을 통한 RCE 취약점
- 관리자 권한이 있어야 접근할 수 있는 기능이지만, 같은 서버에서 운영중인 다른 사이트에 피해를 줄 수도 있으므로 보안취약점으로 취급합니다.
- 이세형 @hackintoanetwork 님이 알려주셨습니다.
- [RVE-2026-4] 게시판 API를 통해 상담글 내용이 노출될 수 있는 문제
- 상담게시판(1:1 문의 게시판)을 운영하는 사이트라면 반드시 패치하시기 바랍니다. 민감한 개인정보가 노출될 수 있습니다. 신속한 패치가 곤란할 경우 modules/board/board.api.php를 삭제하세요.
- 백진후님이 알려주셨습니다.
- [RVE-2026-5] ID/PW 찾기 메일을 통해 피싱을 할 수 있는 문제
- 일부 서버 환경에서 공격자가 ID/PW 찾기 메일에 임의의 주소가 삽입되도록 할 수 있습니다.
- 설정하지 않은 도메인으로 접속할 경우, 반드시 기본 도메인으로 301 또는 302 리다이렉트 처리하시기 바랍니다.
- 백진후님이 알려주셨습니다.
- [RVE-2026-6] 이미지 변환에 사용하는 외부 프로그램을 통한 command injection 취약점
- 관리자 권한이 있어야 변경할 수 있는 설정이지만, 같은 서버에서 운영중인 다른 사이트에 피해를 줄 수도 있으므로 보안취약점으로 취급합니다.
- KISA에서 알려 주셨습니다. (KVE-2026-0437)
새 기능과 변경 사항
- 자동 변환 대상인 이미지나 동영상 파일이라면 게시판의 업로드 제한보다 큰 용량을 업로드하도록 일단 허용한 후, 변환된 용량을 기준으로 제한하도록 개선
- 외부 프로그램(ffmpeg, magick)을 사용하여 이미지나 동영상을 변환할 때, 타임아웃을 설정할 수 있도록 개선
- 관리자 화면에서 문서 일괄 삭제 후 목록으로 돌아올 때, 기존 선택한 게시판을 기억하도록 개선 (#2683)
- 쉼표(,)를 구분자로 인식하지 않도록 하여, 쉼표가 포함된 단어도 검색할 수 있도록 개선 (#2687)
- 이미 삭제되었지만 자리를 남겨 둔 댓글을 관리자 화면에서 한 번 더 삭제하면 완전 삭제되는 기능 추가 (#967, #1763)
개발자를 위한 새 기능과 변경 사항
- 문서, 댓글, 파일 등의 관리자 목록 화면에서 list_count 파라미터를 인식하도록 개선 (#2549)
- DocumentModel::getBlankDocument() 메소드 추가
- Rhymix\Framework\Security::sanitize() 메소드에 'command' 타입 지원 추가
- GitHub 유닛 테스트에 사용하는 actions/checkout 라이브러리를 v4에서 v5로 업데이트
버그 수정
- 비로그인시 발생하는 warning 수정 (#2680)
- 파일 업로드 타입의 확장변수를 필수로 지정한 경우, 2.1.31 이후 글 수정시 재업로드해야 하는 문제 수정 (#2685)
- 관리자 화면에서 여러 게시물을 이동할 때, 발송되는 모든 쪽지의 링크가 동일하게 생성되는 문제 수정 (#2686)
- 유효한 검색어가 포함되지 않은 검색을 시도하면 SQL 문법에 어긋나는 쿼리문이 생성되는 문제 수정 (#2687)
- XML 쿼리에서 <navigation> 안에 <page_count>가 없으면 치명적 오류가 발생하는 문제 수정 (#2688)
- 편집한 적 없는 레이아웃의 HTML/CSS 수정 화면 주소를 직접 입력하여 접근할 수 있는 문제 수정
정리
- XE에서 라이믹스로 업그레이드할 때 ConfigParser에서 발생하는 warning 수정
GPLv2 PHP 7.4+ MySQL or MariaDB
라이믹스
Admin
관리용 계정입니다 :)
댓글 1
보자마자 업데이트 했습니다.