IT
국내 오픈소스 CMS인 라이믹스의 SQL Injection 보안취약점 패치 공개
kkigomi

Lv.1 kkigomi (172.♡.252.26)

2025년 2월 18일 PM 07:32 · 수정됨(02. 20. 23:46)

조회 2,084 공감 0

라이믹스 2.1.21 버전의 릴리즈 노트의 일부 발췌입니다.


보안패치입니다. 가급적 빨리 업데이트하시기 바랍니다.

보안취약점 수정

  • [RVE-2025-1] 잠재적인 SQL 인젝션 문제
    • 특정 서드파티 자료에서 발견된 것과 비슷한 유형의 취약점으로부터 코어를 보호하기 위해, XML 쿼리의 <index> 태그에 var 속성을 이용하여 입력할 수 있는 정렬 조건을 하나의 컬럼명으로 제한합니다. default 속성은 제한하지 않으므로, 복잡한 조건으로 정렬해야 할 경우 default 속성에 SQL 표현식을 하드코딩하시기 바랍니다.
    • 현재 코어에서 문제를 일으키는 부분은 없는 것으로 파악되지만, 상당수의 서드파티 자료가 사용자 입력값을 제대로 검증하지 않고 있는 것으로 보이기 때문에 선제적으로 대응합니다. 기존의 느슨한 동작에 의존하던 서드파티 자료는 이번 패치 후 오작동할 수도 있습니다.


일부 서드파티 플러그인에서 발생할 수 있는 SQL Injection 가능성이 발견되었고, 이를 방지하는 변경이 있다고 합니다.


댓글 (5)

  • 아름다운별

    아름다운별 Lv.1

    25.02.18 · 118.♡.85.208

    다모앙도 패치하셨나요?
    개발하신다고 고생하십니다.
  • kkigomi

    kkigomi Lv.1 → 아름다운별 작성자

    25.02.18 · 172.♡.252.26

    다모앙은 그누보드입니다.
    다모앙도 항상 그누보드의 배포를 주시하며 대응하고 있습니다.
  • 아름다운별

    아름다운별 Lv.1 → kkigomi

    25.02.18 · 118.♡.85.208

    아 여기에서는 보기 드문 이름이라,
    혹시 사이트 구조 중에 쓰는 게 있었나 했네요.
    감사합니다. ^^
  • 메밀꽃질무렵

    메밀꽃질무렵 Lv.1

    25.02.19 · 59.♡.33.78

    Rhymix로 작은 사이트 두 개 굴리는 중인데 바로 업데이트했습니다.

    다모앙도 Rhymix로 했으면 어땠을까 가끔 생각해 봅니다.
  • 코끼리대파

    코끼리대파 Lv.1 → 메밀꽃질무렵

    25.02.20 · 211.♡.92.48

    그러게 말입니다.

댓글을 작성하려면 이 필요합니다.