제로보드 XE 1.4.3.1 보안패치

최근에 그룹분들과 연구하여 제로보드 XE에 대한 관리자 권한이 획득 가능한 CSRF 취약점을 발견하여 리포팅을 하였습니다.
해당 건에 대해 8월 25일경에 패치가 나온것을 확인하여 기록용으로 남겨 둡니다.

XE Core 1.4.3.1

changeset : r7598 ~ r7658
주요 변경 사항
CSRF 보안 취약점 수정

CSRF 보안 취약점이 발견되어 수정하였습니다.
해당 취약점을 알려주신 표경태님, 박영준님, 최영대님께 고맙다는 말씀드립니다.
해당 오류는 on* attribute가 사용이 가능하게 되는 것이고 XE 개발 과정에서 해당 코드가 정상동작하지 않아 발생된 문제였습니다.
이 문제는 r7630 에서 수정되어 커밋되었습니다.
자세한 내용을 보고자 하시는 분은 http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerViewSource&type=compare&erev=7630 를 보시면 됩니다.

https://xe1.xpressengine.com/devlog/19091866

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다