Angular에서 서버 측 렌더링(SSR) 취약점 두 가지를 해결하기 위한 보안 업데이트가 릴리스되었습니다. 이 취약점에는 서버 측 요청 위조(SSRF) 및 헤더 주입과 함께 오픈 리디렉션 결함이 포함됩니다. SSRF 취약점을 통해 공격자는 HTTP 헤더를 조작하여 권한이 없는 도메인에 접근할 수 있었습니다. 헤더 주입 취약점은 Angular가 URL 재구성을 위해 사용자가 제어하는 헤더를 신뢰하는 데서 비롯되었습니다. 오픈 리디렉션 취약점은 Angular가 X-Forwarded-Prefix 헤더를 처리하는 방식에서 발견되었습니다. X-Forwarded-Prefix 헤더가 제대로 검증되지 않으면 악성 웹사이트로 리디렉션될 수 있습니다. 개발자는 이러한 위험을 완화하기 위해 SSR 애플리케이션을 가능한 한 빨리 최신 패치 버전으로 업데이트할 것을 권장합니다. SSR을 사용하지 않는 경우 업데이트는 덜 시급하지만 여전히 권장됩니다. 해결 방법으로는 절대 URL 사용 및 서버 구성에서 엄격한 헤더 검증 구현이 있습니다. X-Forwarded-Prefix 헤더를 검증하는 것은 오픈 리디렉션 문제에 대한 추가적인 해결 방법입니다. 이 보고서는 책임 있는 공개를 권장하며 Google의 VRP 프로그램을 강조합니다. 보안 패치 배포를 위해서는 인프라를 최신 상태로 유지하는 것이 중요합니다.
X-Forwarded-Prefix헤더를 처리하는 방식에서 발견되었습니다.X-Forwarded-Prefix헤더가 제대로 검증되지 않으면 악성 웹사이트로 리디렉션될 수 있습니다. 개발자는 이러한 위험을 완화하기 위해 SSR 애플리케이션을 가능한 한 빨리 최신 패치 버전으로 업데이트할 것을 권장합니다. SSR을 사용하지 않는 경우 업데이트는 덜 시급하지만 여전히 권장됩니다. 해결 방법으로는 절대 URL 사용 및 서버 구성에서 엄격한 헤더 검증 구현이 있습니다.X-Forwarded-Prefix헤더를 검증하는 것은 오픈 리디렉션 문제에 대한 추가적인 해결 방법입니다. 이 보고서는 책임 있는 공개를 권장하며 Google의 VRP 프로그램을 강조합니다. 보안 패치 배포를 위해서는 인프라를 최신 상태로 유지하는 것이 중요합니다.