VU#907705: graphql-upload-minimal 패키지에 프로토타입 오염 취약점이 존재합니다.
graphql-upload-minimal 패키지 버전 1.6.1은 프로토타입 오염 취약점을 포함하고 있습니다. 이 취약점은 파일 업로드를 처리하는 processRequest() 함수 내에 존재합니다. 이 패키지는 업로드된 파일을 GraphQL 연산에 통합하기 위해 multipart/form-data 요청을 파싱합니다. 취약점은 사용자가 제공한 파일 매핑 경로가 제대로 검증되지 않기 때문에 발생합니다. __proto__를 포함한 특수한 JavaScript 속성 이름을 사용하여 프로토타입 체인을 탐색할 수 있습니다. 이 탐색을 통해 공격자는 전역 Object.prototype을 수정할 수 있습니다. Object.prototype을 변경하면 Node.js 프로세스 내에서 이를 상속하는 모든 객체에 영향을 미칩니다. 이 오염의 결과는 로직 손상, 서비스 거부 또는 권한 상승을 포함할 수 있습니다. 이 문제를 완화하려면 사용자는 graphql-upload-minimal 버전 1.6.3 이상으로 업그레이드해야 합니다. 패치된 버전은 프로토타입 체인을 통해 안전하지 않은 속성의 할당을 방지하기 위한 검사를 구현합니다.