protobuf.js 라이브러리의 치명적인 RCE 취약점

✍️ OpenClawRadar📅 게시일: April 19, 2026🔗 Source
protobuf.js 라이브러리의 치명적인 RCE 취약점
Ad

널리 사용되는 Protocol Buffers 라이브러리의 치명적 결함

npm에서 주간 약 5천만 다운로드를 기록하는 Google의 Protocol Buffers JavaScript 구현체인 protobuf.js에서 발견된 치명적인 원격 코드 실행 취약점에 대한 개념 증명(Proof-of-concept) 익스플로잇 코드가 공개되었습니다.

취약점의 기술적 세부사항

이 취약점(GHSA-xq3m-2v4x-88gg로 추적됨)은 안전하지 않은 동적 코드 생성으로 인해 발생합니다. 이 라이브러리는 문자열을 연결하고 Function() 생성자를 통해 실행하여 protobuf 스키마에서 JavaScript 함수를 생성하지만, 메시지 이름과 같은 스키마에서 파생된 식별자를 검증하지 못합니다.

이로 인해 공격자가 생성된 함수에 임의의 코드를 주입하는 악성 스키마를 제공할 수 있으며, 이는 애플리케이션이 해당 스키마를 사용하여 메시지를 처리할 때 실행됩니다.

영향 및 영향받는 버전

  • protobuf.js 버전 8.0.0/7.5.4 및 이하 버전에 영향
  • 공격자가 영향을 미치는 스키마를 로드하는 서버나 애플리케이션에서 RCE(원격 코드 실행) 가능
  • 환경 변수, 자격 증명, 데이터베이스 및 내부 시스템에 대한 접근 권한 부여 가능
  • 인프라 내에서 측면 이동(lateral movement) 가능
  • 신뢰할 수 없는 스키마를 로컬에서 로드하는 개발자 머신에도 영향을 미칠 수 있음
Ad

패치 및 권장사항

패치된 버전으로 업그레이드하세요:

  • 8.x 브랜치의 경우 8.0.1 (4월 4일 npm에 릴리스됨)
  • 7.x 브랜치의 경우 7.5.5 (4월 15일 npm에 릴리스됨)

패치는 영숫자가 아닌 문자를 제거하여 타입 이름을 정제하여 공격자가 합성 함수를 닫는 것을 방지합니다. Endor Labs는 장기적인 해결책은 공격자가 접근 가능한 식별자를 Function을 통해 완전히 왕복하지 않도록 하는 것이라고 지적합니다.

Endor Labs의 추가 권장사항:

  • 전이적 종속성(transitive dependencies) 감사
  • 스키마 로딩을 신뢰할 수 없는 입력으로 취급
  • 프로덕션 환경에서는 사전 컴파일/정적 스키마 선호

타임라인 및 상태

  • 취약점은 Endor Labs 연구원 Cristian Staicu가 3월 2일에 보고
  • 패치는 3월 11일에 GitHub에 릴리스
  • npm 패키지는 4월에 업데이트
  • 현재까지 활성적인 악용 관찰되지 않음
  • 익스플로잇은 최소한의 PoC로 "간단하다"고 설명됨

📖 전체 원문 읽기: HN AI Agents

Ad

👀 See Also

Anthropic, 중국 연구소들의 산업 규모 Claude AI 데이터 추출을 공개합니다
Security

Anthropic, 중국 연구소들의 산업 규모 Claude AI 데이터 추출을 공개합니다

Anthropic은 중국 AI 연구소들이 Claude에서 1,600만 건의 교환을 긁어내기 위해 24,000개 이상의 사기 계정을 사용했으며, 군사 및 감시 시스템을 위한 안전 장치와 논리 구조를 추출했다고 확인했습니다.

OpenClawRadar
LiteLLM v1.82.8 취약점, .pth 파일을 이용한 지속적 실행 방식 사용
Security

LiteLLM v1.82.8 취약점, .pth 파일을 이용한 지속적 실행 방식 사용

LiteLLM v1.82.8이 PyPI에서 손상되었으며, 라이브러리가 임포트될 때뿐만 아니라 모든 Python 프로세스 시작 시 임의의 코드를 실행하는 .pth 파일을 포함하고 있습니다. 이 페이로드는 LiteLLM이 직접 사용되지 않는 전이적 종속성으로 설치된 경우에도 실행됩니다.

OpenClawRadar
Claude Code 보안 플러그인: 개발자 워크플로우에 AppSec 통합
Security

Claude Code 보안 플러그인: 개발자 워크플로우에 AppSec 통합

Anthropic이 Claude Code용 보안 가이드 플러그인을 출시하여 코딩 중 취약점을 식별하고 수정합니다. 엔터프라이즈 뿐만 아니라 모든 사용자가 플러그인 마켓플레이스를 통해 이용 가능합니다. 이 플러그인이 가벼운 어시스턴트가 될지, 진지한 AppSec 워크플로우가 될지, 아니면 Claude Security로 가는 다리가 될지 논의합니다.

OpenClawRadar
Tailscale을 이용한 OpenClaw의 안전한 원격 접속
Security

Tailscale을 이용한 OpenClaw의 안전한 원격 접속

없음

r/clawdbot community