보안 취약점

CVE-2025-6554는 구글 크롬 V8 자바스크립트 엔진의 유형 혼동 취약점입니다. 유형 혼동은 프로그램이 한 데이터 유형을 다른 데이터 유형으로 잘못 해석하여 공격자가 피해자의 시스템에서 임의의 코드를 실행할 수 있게 하는 안전하지 않은 메모리 작업으로 이어질 수 있는 일반적인 메모리 손상 취약점 클래스입니다.

이 취약점은 스토어-스토어 제거 최적화를 수행할 때 동적 인덱스 로딩을 잘못 처리하여 별칭 관계를 잘못 분류하고 중요한 스토어 작업을 잘못 제거하여 메모리 액세스 범위를 벗어나는 결과를 초래하는 V8 TurboFan 컴파일러에서 비롯됩니다. 공격자는 특수하게 조작된 HTML 페이지를 구성하여 사용자 액세스를 유도하고, 악성 JavaScript 코드 실행을 트리거하고, 이 취약점을 악용하여 원격 코드 실행 및 샌드박스 탈출을 달성하고, 궁극적으로 피해자의 디바이스를 완전히 제어할 수 있습니다.

Apache Struts 코드 실행 취약점(CVE-2023-50164)을 통해 공격자는 파일 업로드 매개변수 실행 경로 탐색을 제어할 수 있으며 경우에 따라 악성 파일을 업로드하여 임의 코드를 실행할 수 있습니다.

Apache OFBiz는 엔터프라이즈 프로세스 자동화를 위한 오픈 소스 제품입니다. 여기에는 ERP, CRM, 전자 상거래, 공급망 관리 및 제조 자원 계획을 위한 프레임워크 구성 요소와 비즈니스 애플리케이션이 포함됩니다. Apache OFBiz 버전 18.12.10 이전에는 원격 코드 실행 취약점이 있습니다. xml-RPC는 더 이상 유지되지 않기 때문에 인증된 공격자는 xml-RPC를 사용하여 원격 코드 실행 공격을 수행하고 서버를 제어할 수 있습니다.

최근 Google은 HTTP/2 프로토콜 취약점 CVE-2023-44487을 발표했습니다.
공격자는 이 취약점을 이용하여 저비용의 대규모 공격(http2-rapid-reset-ddos-attack)을 실행할 수 있습니다. 공격자는 이 방법을 사용해 지난 8월부터 구글 클라우드 플랫폼 고객을 대상으로 공격을 펼쳤는데, 한 번의 공격에서 공격자는 1초에 최대 3억 9,800만 건의 요청을 발행했는데, 이는 초당 최대 요청 건수이기도 한 공격이다.

설명: cURL은 URL 구문을 사용하여 데이터를 전송하고 SSL, TLS, HTTP, FTP 및 SMTP를 포함한 다양한 네트워크 프로토콜을 지원하는 널리 사용되는 다기능 오픈 소스 명령줄 도구입니다. libcurl은…