포럼
Xzet 1.4.5.14 (XE 1.4.x 보안 패치)
2012.08.19 21:52
변경 사항
- 작성 댓글 보기 추가 (r21, r22)
- 하위 댓글이 있어도 관리자일 경우에는 삭제 가능하도록 변경 (r19, r20)
- 한글 mid도 사용 가능하도록 변경 + alpha_korean_number 필터 추가 (r17, r18)
- 임시 저장 시 모듈의 권한을 제대로 받아오지 못하는 오류 수정 (r16)
주의 사항
- 업데이트 前 백업은 꼭 해주세요.
- 이번 버전은 .htaccess 파일도 수정되었으므로 .htaccess 파일의 권한을 777 또는 707로 맞춰주세요.
- 업데이트가 제대로 안되었을 경우 디렉터리와 파일의 권한을 확인해 주세요.
다운로드
- 전체 파일 다운로드: xzet.1.4.5.14.zip
- 변경된 파일만 다운로드: xzet.1.4.5.14.changed.zip
이전 버전 릴리즈 노트
댓글 60
-
위드파트너
2012.09.13 10:39
-
일단 임시 방편으로 dispBoardContentList()함수를 보시면 아래 코드가 보이실거예요
if($this->module_info->use_category=='Y') $args->category_srl = Context::get('category');
이것을 다음과 같이 바꿔주세요.
if($this->module_info->use_category=='Y') $args->category_srl = settype(Context::get('category'), "integer");
-
위드파트너
2012.09.13 11:03
http://xzet.tk/?mid=다운로드&category=100
위 주소로 접속하는 것은 정상!
http://xzet.tk/?mid=다운로드&category=s
위와 같이 카테고리에 숫자외에 것을 입력하고 접속하면 사이트가 전부 깨집니다.
-
강제 형변환을 시켜야겠네요...
-
그런데 1.4 버전에서 cond="!$act || $act=='dispPageAdminContentModify'" 이 구문이 안 먹힐까요...ㅜㅜ
1.5에서는 문제 없이 작동하는데요...쩝...
-
버그 제보해 주셔서 고마워요~
-
오호 버그였군요. 다음버전이 기다려 지는군요.
-
으잉? 방금 다시 시도해 보니 잘되는데요?
-
확인 하니 적용이 되는군요 저 코드가 안먹는것이 아니라.
include 구문 안에 cond 문이 1.4버전에서 안먹는것이였습니다. ㅋㅋㅋ 그냥 block 처리했습니다.
<include target="content_style.html" cond="!$act || $act=='dispPageAdminContentModify'"/>
을 아래와 같이 수정해서 해결했습니다. 감사합니다.
<block cond="!$act || $act=='dispPageAdminContentModify'">
<include target="content_style.html"/>
</block> -
그 코드를 1.5에서 어떻게 처리하는지 분석해 봐야겠네요.
네. 말씀하신 코드를 적용했음에도 불구하고 같은 증상이 생겨서...@.@
방금 추가적으로 확인한 사항이 있어요...
http://주소/?mid=home_01&category="'--></style></script><script>alert(hi);</script>
위와 같은 주소에서 빨간색 전부 지우고, category=1 등과 같이 숫자가 들어가면 오류가 없는데
category=s 등과 같이 영문자가 들어가면 똑같은 증상이 발생해요.ㅋ
즉, 카테고리에 숫자 이외에 것이 들어갈 경우에 오류가 생기는 것으로 보입니다.
숫자외에 문자가 카테고리에 들어갈 경우 무시하도록 해줄 수 있으면 문제가 해결 될 것 같아요...
참고로 게시판 설정에서 카테고리가 만들어져 있을 경우에만 이러한 오류가 생기는 것이고,
카테고리 자체가 생성되어 있지 않을 경우에는 이러한 증상 자체가 발생하지 않습니다.