Rhymix 2.1.21 Release Notes SECURITY
보안패치입니다. 가급적 빨리 업데이트하시기 바랍니다.
보안취약점 수정
- [RVE-2025-1] 잠재적인 SQL 인젝션 문제
- 특정 서드파티 자료에서 발견된 것과 비슷한 유형의 취약점으로부터 코어를 보호하기 위해, XML 쿼리의 <index> 태그에 var 속성을 이용하여 입력할 수 있는 정렬 조건을 하나의 컬럼명으로 제한합니다. default 속성은 제한하지 않으므로, 복잡한 조건으로 정렬해야 할 경우 default 속성에 SQL 표현식을 하드코딩하시기 바랍니다.
- 현재 코어에서 문제를 일으키는 부분은 없는 것으로 파악되지만, 상당수의 서드파티 자료가 사용자 입력값을 제대로 검증하지 않고 있는 것으로 보이기 때문에 선제적으로 대응합니다. 기존의 느슨한 동작에 의존하던 서드파티 자료는 이번 패치 후 오작동할 수도 있습니다.
새 기능과 변경 사항
- 회원 이름에 공백 문자 허용 (#2466)
- 확장변수 타입에 따라 불필요한 설정을 숨김 (#2486)
- 입력되지 않은 확장변수는 글읽기 화면에서 숨김 (#2486)
- 한줄게시판 등 목록 화면에서 곧바로 글을 쓰는 상황에서 에디터 호환성 강화
- 비정상적인 파일 업로드 상황에서 임의로 exit하지 않고 Exception을 던지도록 수정
- 일부 PHP 기본 함수가 존재하지 않는 비정상적인 호스팅 환경에서 라이믹스를 설치하려고 할 경우, 설치 환경 체크 과정에서 표시
- 멀티미디어 파일 직접 접근을 허용하지 않으면 본문에 삽입된 멀티미디어가 재생되지 않을 수 있다는 경고 문구 추가
- SSO 기능은 폐기 예정이므로 의존하지 말라는 안내 메시지 추가
개발자를 위한 새 기능과 변경 사항
- 웹뷰앱 호환성 개선을 위해, 게시물 관리 팝업창 상단에 닫기 버튼 추가 (#2478)
- SMS 인증코드 무한 대입을 막기 위해 유효 기간을 10분으로 제한하고, 10회 이상 틀리면 인증코드를 무효화하도록 변경 (#2480)
- 템플릿 v2에서 load 지시자를 사용하여 <script type="module"> 삽입 지원 (#2482)
- XML 쿼리의 <index>, <list_count>, <page_count>, <page> 태그에 모두 if 속성 지원
- Context::addHtmlHeader(), Context::addHtmlFooter() 등을 사용할 때, 이미 있는 내용보다 앞에 붙이는 $prepend 옵션 지원
- Cloudflare Worker를 사용하여 접속한 경우, 헤더에서 실제 IP를 찾지 않도록 변경
버그 수정
- 문서 페이지에서 수정 권한이 있는 그룹에게 페이지 수정 버튼이 표시되지 않는 문제 수정 (#2458)
- 회원 그룹의 다국어 명칭이 이중 인코딩된 상태로 저장되는 문제 수정 (#2459)
- upload_target_type이 지정되지 않은 파일이 글읽기 화면에서 누락되는 문제 수정 (#2462)
- 삭제된 도메인으로만 접근할 수 있도록 설정된 모듈은 해당 정보를 표시하여 오해가 없도록 함 (#2463)
- 템플릿 v2에서 load 지시자의 변수가 잘못 전달되는 문제 수정 @dewekk (#2471)
- 회원 모듈에 다른 레이아웃을 사용하는 경우, 헤더 스크립트가 적용되지 않는 문제 수정 (#2474)
- 로그인 수단으로 전화번호만 사용하는 사이트에서, 관리자 회원정보 수정 폼이 이상하게 표시되는 문제 수정 (#2472)
- 로그인 수단으로 전화번호만 사용하는 사이트에서, 가입 후 자동 로그인이 되지 않는 문제 수정 (#2485)
- 윈도우 서버에서 스크립트 합치기 기능을 사용할 때, CSS에 포함된 상대경로가 잘못 변환되는 문제 수정 (#2492)
- SSO 기능 사용시 리퍼러가 넘어오지 않으면 TypeError가 발생하는 문제 수정 (#2493)
- 작성자가 익명이면 관리자 메일이 발송되지 않는 문제 수정
- cut_str() 함수 사용시 이모지 등 일부 HTML 엔티티가 잘리는 문제 수정
- 배열을 사용하여 여러 카테고리의 문서를 동시에 조회하려고 하면 TypeError가 발생하는 문제 수정
- (2.1.19 이후) 관리 그룹에게 문서, 댓글 등의 관리 권한이 온전히 주어지지 않는 문제 수정
- Storage::write() 메소드의 implcitly nullable 파라미터 수정
정리
- 누락되거나 잘못된 영어 번역 추가/수정 (#2454, #2456, #2460)
- 본문삽입 가능한 동영상 포맷 목록에서 ogv 제외 (#2469)
- iframe 지원 목록에서 폐쇄된 서비스들을 제거하고, 치지직 등 신규 서비스 추가 @xperia-query (#2475, #2476)
- "등록되지 않은 도메인 처리" 설정에 대한 오해를 줄이기 위해 "설정하지 않은 도메인 처리"로 변경
GPLv2
PHP 7.4+ MySQL or MariaDB

라이믹스
Admin
관리용 계정입니다 :)
댓글 0