오늘 한 유저가 게시글에 자바스크립트를 삽입해 출력에 성공하는 일이 있었습니다.

완전 깜짝 놀라서 바로 증상 진단에 나섰는데...

카르마님의 이미지 자동출력 애드온 사용하시는 분 많으실 거 같은데요.

게시글 제목에 스크립트 태그를 넣어버리면 이 애드온에 의해 자바스크립트가 삽입되는 버그가 있었습니다.

예) 제목: <body><script>alert("안녕하세요!")</script></body>

애드온 구조를 보니까 DB에서 직접 게시글 정보를 가져오더라구요.

그런데 DB에 저장되는 게시글 제목은 removeHackTag를 거치지 않는 모양이더라구요.

DB를 보니까 제목란에 태그가 그대로 들어가있네요~

카르마님의 이미지 자동출력 애드온에서는 img alt 부분에 게시글 제목을 넣도록 되어 있었습니다.

그런데 DB에 저장되는 제목이 태그가 삭제되지 않은 채로 들어가다보니 본문에 허용되지 않은 태그를 넣을 수 있었던 거죠.

임시방편으로 최고관리자가 아니면 removeHackTag를 거치도록 수정해뒀는데... 코어 자체에서도 게시글 삽입 시 제목 부분의 태그를 삭제해줄 필요가 있을 거 같아요.

깃허브 이슈 준비하려다가... 서드파티 애드온의 이슈라서 이슈 준비는 그만뒀는데, 어쩔까요...?