공지 | Rhymix 2.1.23 Release Notes SECURITY

라이믹스 2.1 버전대의 버그 수정 릴리즈로, 보안패치가 포함되어 있습니다.

보안취약점 수정

• [RVE-2025-2] 관리자가 사이트 영역 외부의 파일을 삭제할 수 있는 문제
  • 라이믹스는 원칙적으로 최고관리자만 수행할 수 있는 작업은 보안취약점으로 취급하지 않습니다. 그러나 이 문제는 다른 사이트를 공격하는 데 이용될 수도 있으므로 보안취약점 번호를 부여합니다.
  • 한 서버에서 여러 사이트를 운영하는 경우, 웹서버나 PHP의 실행 권한을 어떻게 설정하는지에 따라 이 문제의 영향을 받을 수도 있습니다. 대부분의 OS 기본값은 1개의 사이트를 운영하는 데 맞추어져 있으니 유의하시기 바랍니다.
  • 黄佳님이 제보해 주셨습니다.

개발자를 위한 새 기능과 변경 사항

• 문서 페이지 편집 화면을 스킨에서 커스터마이징할 수 있도록 지원 (#2500)
  • 페이지 스킨에 content_modify.blade.php 또는 content_modify.html 템플릿을 추가하면 됩니다.
  • 해당 템플릿을 제공하지 않는 스킨을 사용하면 기존과 같은 기본 편집 화면이 나옵니다.

버그 수정

• 구 버전에서 생성한 select 타입 확장변수의 기본값이 자동 선택되지 않는 문제 수정
• 템플릿 v2에서 "src"를 포함하는 커스텀 속성에 포함된 경로가 자동 변환되는 문제 수정 (#2537)
• 템플릿 v2에서 autoescape 적용시 변수의 타입을 지나치게 엄격하게 적용하는 문제 수정
• 회원가입 폼의 순서를 변경하면 하위 설정값이 초기화되는 문제 수정 @dewekk (#2538)
• 이메일 주소로 계정 찾기 기능을 사용할 때, 안내 메시지에 치환되지 않은 %s 코드가 노출되는 문제 수정
• display (after) 시점에 응답 내용을 변경할 경우, 디버그 정보 중 응답 용량이 잘못 측정될 수 있는 문제 수정 (#2546)

정리

• XML 쿼리에서 minlength, maxlength 속성이 없으면 문자열의 길이를 측정하지 않도록 변경
• XML 쿼리에서 유니코드 문자열 길이 측정에 사용하는 iconv_strlen() 함수를 mb_strlen() 함수로 교체
  • PHP 8.4에서 한글 20자 기준, 15~20배 더 빠릅니다.