Unofficial XE Patch 1.11.22
XE 비공식 보안패치인 1.11.22 버전을 공개합니다. 이 버전은 비정기 긴급 버전으로 다음 보안취약점에 대한 패치가 포함되어 있습니다.
[RVE-2026-13] 폼 제출 후 외부 URL로 리다이렉트시킬 수 있는 문제- XE1에는 해당하지 않는 취약점이나, URL을 제대로 처리하지 않는 문제점이 있어 고쳤습니다.
- [RVE-2026-14] 데이터 들여오기(importer) 모듈의 외부 요청을 통한 SSRF 및 정보유출 가능성
- 라이믹스와 마찬가지로 외부 URL을 직접 들여올 수 없도록 변경되었습니다.
- [RVE-2026-15] 애드온 관리 기능을 통한 path traversal 취약점
[RVE-2026-16] 기존 쉬운설치 모듈의 path traversal 취약점- 해당 취약점을 악용할 방법이 현재로써는 전무하며 추후 쉬운설치 모듈은 완전히 제거할 예정이므로 패치하지 않습니다.
주의사항
아직 1.11.14 업데이트를 적용하지 않으셨다면 이번 업데이트라도 한시빨리 적용하시기 바랍니다. 특히 1.11.14 버전의 취약점은 타인의 쪽지 열람이 가능해지는 심각한 취약점으로 경우에 따라 개인정보 유출이 발생하는 경우 홈페이지 운영자가 민형사상의 책임을 져야 할 수도 있습니다.
[RVE-2026-8] 세션 ID가 갱신되지 않는 문제는 SSO 호환성 문제로 패치되지 않았습니다.
다운로드
전체 릴리즈 (zip)
전체 릴리즈 (tar.gz)
변경사항 압축파일은 더이상 제공하지 않습니다. 전체 파일을 받아 덮어씌우기 형태로 업데이트하시기 바랍니다.