스마트에디터 보안취약점 공지

==========================

안녕하세요. NAVER 스마트에디터 담당자입니다.

사진 업로더 샘플에 보안취약점이 추가로 확인되어 가장 최신버전2.8.2 에 핫픽스 반영하였습니다.
2.8.2미만 버전을 사용하고 계신 경우, 보안패치된 file_uploader.php 파일만 다운받아 덮어씌우시면 됩니다.

=========================
KISA 보안취약점 보고내용
=========================
네이버 SmartEditor 2.0 리다이렉트 취약점 (16-511)

 □ 취약점 개요
o 네이버 스마트 에디터 2.0 최신버전을 적용한 사이트에서 검증되지 않은 사이트로 리다이렉트가 가능한 취약점 발견

□ 테스트 환경
o 제품버전 : SmartEditor2.0 Basic v2.8.2.2(‘16.7.21)
o PHP v5.2.12

□ 취약점 내용
o file_uploader.php에서 callback 파라미터 값을 별도 검증 없이 받아와 헤더 메시지를 보내는 과정에서 리다이렉트 취약점이 발생  

=========================
보안패치사항
=========================
file_uploader.php에서 리다이렉션URL을 파라메터로 받지 않고 직접 지정하여 보안 강화
=========================

(참고사항)
추가로 sample.php에서 XSS filtering을 위해 HTMLPurifier라이브러리를 적용하고 파일경로 수정하였으니 참고바랍니다.
sample.php -> sample/viewer/index.php

==========================

2016-09-10 17:00 패치

현재 스마트에디터 2.0이 탑재된 심플리디자인 고객계정 일괄 패치 진행 완료!

그럼 좋은하루 되십시요.