창작센터
  1. 최고 보안 책임자
  2. 취약점 분석

취약점 분석

  • CVE-2025-68664 : 대규모 모델 오픈 소스 프레임워크인 LangChain의 직렬화 인젝션 취약점 보고서 취약점 분석

    CVE-2025-68664 : 대규모 모델 오픈 소스 프레임워크인 LangChain의 직렬화 인젝션 취약점 보고서

    오픈소스 메가 모델인 랭체인은 직렬화/역직렬화 과정에서 "lc" 키가 누락된 심각도 수준의 직렬화 인젝션 취약점(CVE-2025-68664)을 발견한 Cyata Security의 보안 연구원 Yarden Porat에 의해 공개되었습니다. 이 취약점은 직렬화/역직렬화 프로세스에서 "lc" 키가 누락되어 공격자가 환경 변수를 유출하거나 임의의 객체를 인스턴스화하거나 프롬프트 인젝션을 통해 원격으로 코드를 실행할 수 있는 것으로, Cyata Security의 보안 연구원 Yarden Porat가 발견했습니다. 이 취약점은 버전 0.3.81 이전과 버전 1.0.0-1.2.5 범위 내의 모든 LangChain Core 배포에 영향을 미치며, 12월 24일에 공식 패치 버전 1.2.5 및 0.3.81이 릴리스되었고 동시에 기본 보안 정책도 강화되었습니다.

    리옹 리옹
    영국 및 북아일랜드 외무부 장관의 2025년 12월 27일자 서한
    02.5K0
  • AI 인텔리전스 본문 보안: 깃허브 액션 프롬프트 워드 인젝션(PromptPwnd) 취약점 취약점 분석

    AI 인텔리전스 본문 보안: 깃허브 액션 프롬프트 워드 인젝션(PromptPwnd) 취약점

    PromptPwnd는 Aikido Security 연구팀이 발견한 새로운 취약점으로, AI 에이전트를 통합하는 GitHub Actions 및 GitLab CI/CD 파이프라인에 심각한 위협이 될 수 있습니다. 이 취약점은 프롬프트 인젝션을 악용하여 악성 명령을 AI 모델에 주입함으로써 키 손상, 워크플로 조작 및 공급망 손상을 일으켜 높은 권한의 작업을 수행하도록 합니다. 최소 5개의 Fortune 500대 기업이 영향을 받았으며, Google Gemini CLI와 같은 여러 유명 프로젝트에서 이 취약점이 있는 것으로 확인되었습니다.

    최고 보안 책임자 최고 보안 책임자
    영국 및 북아일랜드 외무부 장관의 2025년 12월 27일자 서한
    01.4K0
  • CVE-2025-34291: Langflow AI 인텔리전스 본체 및 워크플로 플랫폼 계정 탈취 및 원격 코드 실행 취약점 취약점 분석

    CVE-2025-34291: Langflow AI 인텔리전스 본체 및 워크플로 플랫폼 계정 탈취 및 원격 코드 실행 취약점

    CVE-2025-34291은 보안 점수가 CVSS v4.0: 9.4인 Langflow AI 에이전트 및 워크플로 플랫폼에서 발견된 중요한 취약점 체인입니다. 이 취약점을 통해 공격자는 사용자가 악성 웹 페이지를 방문하도록 유도하여 Langflow 인스턴스의 전체 계정 탈취 및 원격 코드 실행(RCE)을 달성할 수 있습니다.

    최고 보안 책임자 최고 보안 책임자
    2025년 12월 11일
    01.9K0
  • CVE-2025-55182: React 서버 구성 요소 원격 코드 실행 취약점 취약점 분석

    CVE-2025-55182: React 서버 구성 요소 원격 코드 실행 취약점

    CVE-2025-55182 영향을 받는 버전의 React 19에서 도입된 취약점인 Next.js 앱 라우터는 모델 구조, 참조 경로 및 서버 참조 메타데이터를 충분히 확인하지 않고 클라이언트에서 RSC 직렬화된 데이터를 가져와 ReactFlightReplyServer로 직접 전달하여 역직렬화합니다. 공격자는 악의적인 RSC를 구성할 수 있습니다. 공격자는 악성 RSC 요청을 구성하고, parseModelString, getOutlinedModel, loadServerReference, initializeModelChunk 및 기타 파싱 링크를 예외 상태로 유도하고, 모듈 로드 및 참조 바인딩 단계에서 호출 대상을 제어하여 궁극적으로 Next.js에서 임의의 서버 측 트리거를 트리거할 수 있습니다. js는 모든 서버 측 코드 실행을 트리거할 수 있습니다.

    최고 보안 책임자 최고 보안 책임자
    2025년 12월 11일
    02.5K0
  • 타사 SDK 취약점 공개: 모바일 앱 애플리케이션 보안 공격 및 방어에 대한 실용 가이드 취약점 분석

    타사 SDK 취약점 공개: 모바일 앱 애플리케이션 보안 공격 및 방어에 대한 실용 가이드

    이 글에서는 360 Vulpecker Team의 보안 연구원인 Li Bo와 Zhang Xin이 실제로 진행한 모바일 APP 타사 SDK의 취약점 마이닝을 소개합니다. 360 Vulpecker 팀은 안드로이드 시스템과 애플리케이션 보안 공격 및 방어 분야에 중점을 두고 있으며, 안드로이드 애플리케이션 보안 감사를 위한 자동화 시스템을 자체 개발했습니다. 이 기사는 타사 SDK의 보안 상태부터 시작하여 SDK 통합으로 인한 보안 위험에 대해 논의하고 다양한 SDK의 취약점 위험 및 공격 방법을 자세히 소개합니다. Push SDK와 공유 SDK의 취약점 악용 방식을 사례를 통해 분석하고, 해당 취약점이 애플리케이션에 미치는 영향 범위를 지적합니다. 마지막으로 모바일 앱의 보안에 대한 독자들의 관심과 깊이 있는 고민을 불러일으키기 위한 몇 가지 생각을 제시한다.

    최고 보안 책임자 최고 보안 책임자
    2023년 12월 14일
    011.8K0
  • Google Android 14 입력 방식 정보 유출 취약점 및 영향 취약점 분석

    Google Android 14 입력 방식 정보 유출 취약점 및 영향

    구글 안드로이드 14 입력방식 정보 공개 취약점, 사이드 채널 정보 유출로 인해 권한 조회 없이 애플리케이션 설치 여부를 확인할 수 있는 방법이 있다. 이로 인해 별도의 실행 권한 없이도 지역 정보가 공개될 수 있습니다. 이 취약점을 악용하려면 사용자 상호 작용이 필요하지 않습니다.

    리옹 리옹
    2023년 11월 23일
    110.4K0
  • [긴급] 오픈소스 Apache Log4j의 원격 코드 실행 취약점 클라우드 보안

    [긴급] 오픈소스 Apache Log4j의 원격 코드 실행 취약점

    2021년 11월 24일 Alibaba Cloud 보안팀은 Apache Log4j2 원격 코드 실행 취약점을 Apache 관계자에게 보고했습니다. 01 취약점 설명 Apache Log4j2는 뛰어난 Java 로깅 프레임워크입니다. …

    알리바바 클라우드 보안 알리바바 클라우드 보안
    2021년 12월 10일
    23020.5K0