2022-12-04 03:10 (일)
Spotify의 Backstage 플랫폼에서 치명적인 RCE 결함 발견
상태바
Spotify의 Backstage 플랫폼에서 치명적인 RCE 결함 발견
  • 페소아 기자
  • 승인 2022.11.21 15:00
이 기사를 공유합니다

스포티파이(Spotify)의 백스테이지가 타사 모듈에서 최근 공개된 버그를 활용하여 원격 코드 실행을 얻기 위해 악용될 수 있는 심각한 보안 결함에 취약한 것으로 발견되었다.

이 취약성의 핵심은 지난 달에 공개된 유명한 자바스크립트 샌드박스 라이브러리(CVE-2022-36067)인 vm2의 중요한 샌드박스 이스케이프 활용이다.

더해커뉴스에 따르면, 애플리케이션 보안 회사 옥스아이는 "인증되지 않은 공격자는 Scaffolder 코어 플러그인의 vm2 샌드박스 이스케이프를 악용하여 Backstage 애플리케이션에서 임의의 시스템 명령을 실행할 수 있다."라고 밝혔다.

회사 측은, 인터넷에 공개적으로 노출된 500개 이상의 백스테이지 인스턴스를 식별할 수 있었으며, 그것들이 승인 없이 해커가 원격으로 무기화할 수 있다고 전했다. 한편 이 취약점은 지난 8월 29일에 릴리스된 버전 1.5.1에서 해결되었다. 최신 버전으로 업그레이드해야 안전할 수 있다.

★정보보안 대표 미디어 데일리시큐!