VU#102648: binary-parser 라이브러리에서 코드 주입 취약점 발견
Node.js용 바이너리 파서 라이브러리에서 코드 주입 취약점이 발견되었습니다. 이 취약점은 2.3.0 이전 버전에 영향을 미쳤으며, 임의의 JavaScript 실행으로 이어질 수 있었습니다. 이 라이브러리는 Function 생성자를 사용하여 동적 JavaScript 코드 생성을 허용했습니다. 사용자 제공 데이터, 특히 필드 이름과 인코딩 매개변수가 적절한 검증 없이 통합되었습니다. 이러한 검증 부족으로 인해 공격자는 조작된 입력을 통해 악성 코드를 주입할 수 있었습니다. 파서 정의에 신뢰할 수 없는 데이터를 사용하는 애플리케이션은 악용될 위험이 있었습니다. 악용에 성공하면 공격자는 Node.js 프로세스를 제어할 수 있었습니다. 공급업체는 입력 유효성 검사가 포함된 버전 2.3.0을 출시하여 이 문제를 해결했습니다. 위험을 완화하려면 패치된 버전으로 업그레이드해야 합니다. 개발자는 유사한 취약점을 방지하기 위해 파서 정의에 신뢰할 수 없는 데이터를 포함하지 않아야 합니다. 이 취약점은 Maor Caplan에 의해 발견되었고 Keichi Takahashi에 의해 수정되었습니다.