VU#123335: 마이크로소프트 윈도우에서 여러 프로그래밍 언어가 인수를 적절히 이스케이프하지 못함

Windows 환경에서 다양한 프로그래밍 언어의 명령어 주입 취약점 발견 Windows 환경에서 실행되는 다양한 프로그래밍 언어에서 명령어 주입 취약점이 발견되었습니다. 이 취약점은 공격자가 명령 인수로 위장하여 임의 코드를 실행할 수 있도록 합니다. 이 문제는 명령어와 인수에 대한 적절한 검증 및 이스케이핑 메커니즘이 부족하여 발생합니다. 이 취약점은 파일 확장자를 지정하지 않고 명령어를 실행하는 애플리케이션에 영향을 미치며, 임의의 명령어를 실행하는 데 악용될 수 있습니다. 마이크로소프트는 2011년부터 명령어 실행 및 이스케이핑에 대한 우려를 문서화해 왔습니다. 이 취약점의 영향은 구현에 따라 다르며, 런타임 환경 업데이트 또는 수동 이스케이핑 및 데이터 중화를 통해 완화될 수 있습니다. 보안 연구원은 영향을 받는 특정 언어와 그 상태에 대한 자세한 정보를 제공했습니다.