| r13 vs r14 | ||
|---|---|---|
| ... | ... | |
| 14 | 14 | 문제는 문서 편집 및 편집 요청 시 ACL 조건에 미달하면 경고 메시지를 띄워주는 부분에서 HTML 이스케이핑을 하지 않아 모든 HTML 태그가 그대로 노출되었었다는 것이다. 따라서 이는 ACL을 조정 가능한 사용자가 임의의 HTML 태그를 삽입하여 문서를 편집 및 편집 요청 시도하는 사용자를 대상으로 XSS 공격을 할 수 있는 취약점으로 이어졌다. |
| 15 | 15 | |
| 16 | 16 | 이전부터 [[이 문서 ACL 탭에서 이상한 것 찾아보세요|이 문서]]에서 ACL perm 값을 입력(insert)했더니 ACL에 출력된 값이 perm이 아닌 function으로 다르게 나오는 현상처럼 코드가 실행될 잠재적 위험이 있었다.[* 이 문제는 v4.28.0.897 업데이트 이후 다시 한 번 버전명 변경 없이 업데이트가 되며 해결되었다.] |
| 17 | {{{#!folding 입출력 비교 보기 [ 펼치기 · 접기 ] | |
| 17 | {{{#!folding 당시 입출력 비교 보기 [ 펼치기 · 접기 ] | |
| 18 | 18 | * 입력 (문서 역사 참고) |
| 19 | 19 | 1. insert,edit,gotons,perm:constructor |
| 20 | 20 | 1. insert,edit,gotons,perm:_\_proto__ |
| ... | ... |