VU#652514: DNS 리바운딩 및 CORS 헤더 조작을 통한 정보 유출
크로미움 기반 브라우저 및 Safari에서 Cross-Origin Resource Sharing (CORS) 헤더와 관련된 취약점이 존재합니다. 이는 공격자가 DNS 리바인딩 공격과 함께 CORS 정책을 조작할 수 있게 합니다. 이 익스플로잇은 의도된 CORS 제한을 우회하여 모든 포트의 서비스에 임의의 요청을 가능하게 합니다. 웹사이트가 다른 웹사이트의 리소스에 접근해야 할 때, 일반적으로 CORS 정책이 이를 규제하는 데 사용됩니다. 그러나 CORS의 잘못된 설정은 악용될 수 있습니다. DNS 리바인딩 공격은 호스트 이름이 임의의 IP 주소를 가리킬 수 있다는 사실을 활용합니다. 공격자는 피해자를 악성 사이트에 방문하도록 유도한 다음, 로컬 네트워크에서 서비스를 스캔합니다. 악성 사이트는 자신의 호스트 이름을 대상 서비스의 IP 주소로 다시 바인딩할 수 있습니다. 이를 통해 공격자의 사이트는 대상의 완화된 CORS 정책을 상속받아 데이터 유출을 용이하게 합니다. Mozilla는 이 취약점에 CVE-2025-8036을 할당했습니다. 잠재적인 영향으로는 개인 네트워크 노출 및 민감한 데이터에 대한 무단 접근이 포함됩니다. 사용자는 보안 패치를 위해 브라우저를 최신 버전으로 업데이트해야 합니다.