Rhymix 2.1.13 Release Notes SECURITY

보안패치입니다. 가급적 빨리 업데이트하시기 바랍니다.

보안취약점 수정

• [RVE-2024-1] 문서 제목을 자동 생성하는 과정에서 적절히 필터링하지 않아서 XSS, CSRF 등의 공격이 가능한 문제
  • 스틸리언 Penetration Testing Team에서 알려주셨습니다.
• [RVE-2024-2] 외부페이지 캐시 파일을 다시 외부페이지로 불러올 경우 원격 코드 실행이 가능한 문제
  • 스틸리언 Penetration Testing Team에서 알려주셨습니다.
• [RVE-2024-3] 편집한 레이아웃의 소스가 노출될 수 있는 문제
  • 아파치 이외의 웹서버(nginx, Caddy, IIS 등)를 사용하시는 분은 rewrite 규칙을 업데이트하시기 바랍니다.

새 기능과 개선점

• PHP 7.4 미만인 경우 2024년 하반기 이후 지원되지 않을 수 있다는 경고 메시지를 대시보드 상단에 추가
• 관리자 화면에서 숫자만 입력할 수 있는 필드는 대부분 type="number"로 변경하고 최소값 지정 @kkigomi (#2264)
• debugPrint() 함수에 파라미터를 여러 개 넘겨서, 여러 변수를 한 번에 찍어볼 수 있도록 개선 @kkigomi (#2269)
• 레이아웃 설정 화면에서 svg 및 webp 이미지를 업로드할 수 있도록 개선
• 회원 설정에서 인증 메일을 사용하지 않도록 설정한 경우, ID/PW 찾기 화면에서도 인증 메일 재발송 섹션을 숨김 (#2285)
• 로그아웃시 redirect_url 파라미터를 추가하여, 사이트 내의 특정 URL로 전달할 수 있도록 허용 (#2288)
• 특정 도메인에서 사용할 언어를 강제 지정하는 기능 추가

버그 수정

• PageHandler를 iterator로 사용할 때 페이지 갯수가 잘못 표시되는 문제 수정 @dewekk (#2263)
• 회원 이메일의 @ 앞부분이 한 글자인 경우 발생하는 ValueError 수정
• 최신 구글 웹폰트 CSS URL을 템플릿 문법으로 로딩할 때 <link> 태그가 정상적으로 생성되지 않는 문제 수정
• 위젯 설정 화면에서 파일박스에 새 파일을 업로드해도 즉시 사용할 수 없는 문제 수정 @kkigomi (#2266)
• HTML 필터링 과정에서 <video> 및 <audio> 태그의 data-file-srl 속성이 삭제되는 문제 수정 (#2271)
• <video> 태그의 poster 속성에 입력된 상대주소가 절대주소로 자동 변환되지 않는 문제 수정
• 익명글을 글쓴이 자신이 읽었을 때 조회수가 중복 집계되는 문제 수정
• v2 템플릿의 verbatim 지시자 안에서 일부 호환 문법이 해석되는 문제 수정 (#2272)
• 비밀번호 리셋 화면에서 레이아웃이 정상 적용되지 않는 문제 수정
• 사용중인 알림센터 스킨이 컬러셋을 지원하지 않는 경우, 설정 화면에서 오류가 발생하는 문제 수정
• 디버그 정보 추가에 실패하더라도 JSON 응답 형식이 깨지지 않도록 수정 @kkigomi (#2280)

정리

• PHP Warning 및 Notice 다수 수정 (#2274, #2275, #2276, #2277, #2278, #2281, #2282, #2283)