최근에 그룹분들과 연구하여 제로보드 XE에 대한 관리자 권한이 획득 가능한 CSRF 취약점을 발견하여 리포팅을 하였습니다.
해당 건에 대해 8월 25일경에 패치가 나온것을 확인하여 기록용으로 남겨 둡니다.
XE Core 1.4.3.1
changeset : r7598 ~ r7658
주요 변경 사항
CSRF 보안 취약점 수정
CSRF 보안 취약점이 발견되어 수정하였습니다.
해당 취약점을 알려주신 표경태님, 박영준님, 최영대님께 고맙다는 말씀드립니다.
해당 오류는 on* attribute가 사용이 가능하게 되는 것이고 XE 개발 과정에서 해당 코드가 정상동작하지 않아 발생된 문제였습니다.
이 문제는 r7630 에서 수정되어 커밋되었습니다.
자세한 내용을 보고자 하시는 분은 http://xe.xpressengine.net/?mid=issuetracker&act=dispIssuetrackerViewSource&type=compare&erev=7630 를 보시면 됩니다.