Ticket #1107 (closed defect: fixed)
RSS 리더의 XSS 보안 취약점
| Reported by: | daybreaker | Owned by: | inureyes |
|---|---|---|---|
| Priority: | critical | Milestone: | 1.7.6 |
| Component: | Core | Version: | 1.7 |
| Keywords: | security xss | Cc: | |
| Release: |
Description
RSS 리더에서 RSS에 삽입된 특정 자바스크립트를 통해 세션 쿠키를 빼낼 가능성이 있는 보안 취약점이 발견되었습니다. 이를 방지하기 위해 RSS를 볼 때 Javascript를 필터링할 수 있는 옵션이 구현되어 있지만 이를 우회하는 방법이 존재하여 관련한 처리를 더욱 강화합니다.
Change History
Note: See
TracTickets for help on using
tickets.
