자세한 설명은
제로보드 공지 http://www.xpressengine.com/zb4_security/18319857
인터넷 침해사고 대응 지원센터 http://www.krcert.net/secureNoticeView.do?seq=-1&num=359 참고.

호스팅 업체나 서버를 가지고 계신 분 중 여러 계정에 제로보드를 설치하신 경우. 보통 /home 디렉토리에 가서 아래 명령을 실행하면 됩니다.
_head.php 파일

find . -name '_head.php' | xargs -n 1 perl -pi -e 's#if\(eregi\(":\\/\\/",\$_zb_path)path\)\|\|eregi\("\\.\\.",\$_zb_path\)\) \$_zb_path ="./";#if\(eregi\(":\\/\\/",\$_zb_path\)\|\|eregi\("\\.\\.",\$_zb_path\)\|\|eregi\("\^\\/",\$_zb_path\)\|\|eregi\("data:;",\$_zb_path\)\) \$_zb_path ="./";#'

단 $_zb_path를 상단 파일에서 불러들이는 방식으로 사이트를 만드신 분은 위 패치를 적용하면 사이트가 제대로 작동하지 않습니다. 반드시 확인하고 적용하세요. 바꿀 문자열에서 세번째 조건 eregi("^\/",$_zb_path) 부분에서 걸려서 그렇습니다.
짧은 설명 :
1. 's#찾을 문자#바꿀 문자#'
2. |, (, ), \, $, ^, ! 는 이스케이프 해주기.
3. -e 다음의 문자열을 single-quote로 감싸는 경우 문자열 내에 single-quote가 있으면 에러가 발생한다. 쉘은 single-quote 내에서 single-quote 를 escape 하지 못하기 때문이다. 이럴 경우 문자열 내의 single-quote 를 '\047' 로 하면 된다.

$_zb_path 를 상단 파일에서 사용하시는 분은 세번째 조건문을 다음과 같이 바꿔보셔요.

수정 전 : eregi("^\/",$_zb_path)
수정 후 : !eregi("^\".dirname(__FILE__),$_zb_path)

혹은
PHP 5.3.0 부터는 eregi 함수가 deprecated 되므로 아예 조건문 전체를 다음과 같이 바꾸는 것도 괜찮을 듯 싶습니다.

if(!preg_match('/^' . addcslashes(dirname(__FILE__), '/') . '/i', $_zb_path)) $_zb_path = './';

skin/zero_vote/ask_password.php, error.php, login.php, setup.php

find `find . -type d -name 'zero_vote'` -name ask_password.php | xargs -n 1 perl -pi -e 's#if\(eregi\(":\\/\\/",\$dir\)\|\|eregi\("\\.\\.",\$dir\)\) \$dir ="./";#if\(eregi\(":\\/\\/",\$dir\)\|\|eregi\("\\.\\.",\$dir\)\|\|eregi\("\^\\/",\$dir\)\|\|eregi\("data:;",\$dir\)\) \$dir ="./";#'

ask_password를 error, login, setup 으로 바꿔서 각각 실행해주면 됩니다.