XE 비공식 보안패치인 1.11.13 버전을 공개합니다. 이 버전은 비정기 긴급 버전으로 다음 보안취약점에 대한 패치가 포함되어 있습니다. 참고로 이 글 역시 보안 취약점을 이용해 작성되었습니다. 악용을 막기 위해 상세 방법은 공개하지 않습니다.

XE팀은 그동안 보안취약점 제보에 대해 모두 무시로 일관하는등 굉장히 무성의한 대응을 보여왔습니다. 원칙상 허가 없는 취약점 테스트는 불법이나, 불법행위로 인해 받는 피해보다 이로 인해 타 사이트가 입을 해킹피해가 훨씬 큰 만큼 부득이하게 사용하는점 많은 양해 바랍니다.

보안 취약점

• [RVE-2023-2] 에디터 모듈의 XSS 취약점 @kijin
• [RVE-2023-3] 일반 게시판에서 글이나 댓글의 작성자 정보를 변조할 수 있는 문제 @kijin
• [RVE-2023-4] 글이나 댓글의 일부 속성을 일반 사용자가 임의로 조작할 수 있는 문제 @kijin

보안 취약점 이외 개선사항

• 도움말 삭제 및 외부 페이지로 변경 @YJSoft
  • 업데이트 이후 admin/help 폴더는 더이상 사용되지 않으니 삭제해도 무방합니다.
  • 이후 비정기 업데이트시 도움말 링크 자체를 삭제할 예정입니다.

주의사항

XE는 사실상 업데이트 중단 상태입니다. 공식 발표되지 않았을 뿐 2020년 이후 어떠한 업데이트도 이루어지지 않고 있습니다. 포크 버전인 Rhymix에서 발생한 취약점 중 XE에서도 해당하는 것들은 패치가 이루어질 가능성이 있으나, XE에만 존재하는 취약점은 빠르게 패치되지 못할 가능성이 큽니다.

이번 보안 취약점은 심각한 취약점으로 지원 종료와 무관하게 패치가 진행되었지만 이후 취약점은 패치가 되지 않을 수 있습니다. 한시 빨리 Rhymix 등 잘 유지보수되는 버전으로 업그레이드하시기 바랍니다.

다운로드

전체 릴리즈 (zip)
전체 릴리즈 (tar.gz)
변경사항 압축파일은은 별도 공지가 있기 전까지 제공 중단됩니다.