반응형 프로그래밍/취약점 관리2 자바스크립트, JSONata, 프로토타입 폴루션 취약점 (CVE-2024-27307) with PoC Code 안녕하세요 K-인사이트입니다. 깃허브에서 무료 1만8천개의 별을 받은 JSONata 프로젝트에서 “Github, Inc. 9.8점 Critical” 위험도의 취약점(CVE-2024-27307)이 공개되었습니다. 해당 취약점을 통해 해커는 사용자가 제공한 JSONata 표현식을 평가하는 애플리케이션에서 서비스 거부, 원격 코드 실행 또는 기타 예기치 않은 동작이 발생시킬 수 있는 것으로 알려졌습니다. 아직 해당 CVE-2024-27307의 exploit 코드가 공개되어 있지 않은 상태입니다. JSONata의 깃헙 패치를 분석하여 원격 명령 실행(Remote Code Execution) 공격 코드를 도출하였으며 이 글에서 One Day Exploit PoC 코드를 공개드리도록 하겠습니다. 👏👏👏 이 글의 맨.. 2024. 3. 21. 파이썬 aiohttp, 파일 다운로드 취약점, static 리소스 보안 필요 (CVE-2024-23334) 안녕하세요 K-인사이트입니다. 깃허브에서 1만4천개의 별을 받은 aiohttp 프로젝트에서 "NVD 7.5점 High", "Github, Inc. 5.9 Medium" 위험도의 취약점(CVE-2024-23334)이 공개되었습니다. 해당 취약점을 통해 해커는 서버 내부 파일을 다운로드하는 등 기업이 보관하는 개인정보 및 내부 중요 정보 유출 위험을 초래할 수 있습니다. aiohttp 란? 비동기 웹 서버 개발을 위해 설계된 Python 라이브러리 입니다. aiohttp는 asyncio 라이브러리를 기반으로 하며, 비동기 코드를 작성하여 네트워크 연결, 웹 서버 및 클라이언트와의 상호작용을 효율적으로 다룰 수 있게 해줍니다. 취약점 정보 요약 aiohttp 는 flask와 django 라이브러리처럼 정적 리.. 2024. 3. 21. 이전 1 다음 반응형
