안녕하세요, 오토소장 김효복 입니다.

보다 안정적인 서비스 운영을 위해 Rhymix 2.1.23 보안 업데이트를 커뮤니티 사이트에 적용하였습니다.

이번 업데이트는 보안 취약점 수정과 기능 개선을 포함하고 있습니다.

 

주요 업데이트 내용

보안 취약점 수정

• [RVE-2025-2] 관리자가 사이트 영역 외부의 파일을 삭제할 수 있는 문제

  • 이 문제는 다른 사이트를 공격하는 데 이용될 수 있으므로 보안 취약점 번호가 부여되었습니다.

  • 한 서버에서 여러 사이트를 운영하는 경우, 웹서버나 PHP의 실행 권한 설정에 따라 영향을 받을 수 있습니다. 대부분의 OS 기본값은 1개의 사이트 운영에 맞추어져 있으니 유의하시기 바랍니다.

  • 해당 취약점은 사용자 황佳님이 제보해 주셨습니다.

기능 개선 및 버그 수정

• 문서 페이지 편집 화면의 스킨 커스터마이징 지원

  • 페이지 스킨에 content_modify.blade.php 또는 content_modify.html 템플릿을 추가하면, 문서 편집 화면을 스킨에서 커스터마이징할 수 있습니다.

  • 해당 템플릿을 제공하지 않는 스킨을 사용하면 기존과 같은 기본 편집 화면이 표시됩니다.

• 기타 버그 수정 및 개선 사항

  • 구 버전에서 생성한 select 타입 확장변수의 기본값이 자동 선택되지 않는 문제 수정

  • 템플릿 v2에서 "src"를 포함하는 커스텀 속성에 포함된 경로가 자동 변환되는 문제 수정

  • 템플릿 v2에서 autoescape 적용 시 변수의 타입을 지나치게 엄격하게 적용하는 문제 수정

  • 회원가입 폼의 순서를 변경하면 하위 설정값이 초기화되는 문제 수정

  • 이메일 주소로 계정 찾기 기능을 사용할 때, 안내 메시지에 치환되지 않은 %s 코드가 노출되는 문제 수정

  • display (after) 시점에 응답 내용을 변경할 경우, 디버그 정보 중 응답 용량이 잘못 측정될 수 있는 문제 수정

• 성능 개선

  • XML 쿼리에서 minlength, maxlength 속성이 없으면 문자열의 길이를 측정하지 않도록 변경

  • XML 쿼리에서 유니코드 문자열 길이 측정에 사용하는 iconv_strlen() 함수를 mb_strlen() 함수로 교체하여, PHP 8.4에서 한글 20자 기준으로 15~20배 더 빠른 성능을 제공합니다.

적용 일시

• 2025년 5월 1일 (목) 오전 10시

참고 사항

• 로그인 유지 중인 회원은 새로고침 또는 로그아웃 후 재로그인을 권장드립니다.

• 기능상 문제가 발생할 경우 [문의하기] 게시판을 통해 제보 부탁드립니다.

항상 쾌적하고 안전한 커뮤니티 환경을 제공하기 위해 노력하겠습니다.
감사합니다.

오토연구소 운영자 김효복 드림

 

---

자세한 업데이트 내용은 Rhymix 2.1.23 릴리즈 노트를 참고하시기 바랍니다.