요약React Server Component(RSC)의 Flight 프로토콜 처리과정에서의 비인가 원격 코드 실행 취약점 (CVSS 10.0) React는 19 버전 이후부터 Server Function이라는 기능을 제공하기 시작했다. Server Function은 클라이언트 컴포넌트에서 서버에서 실행되는 비동기 함수를 직접 호출할 수 있도록 하는 기능으로, API endpoint와 같이 동작하는 것으로 볼 수 있다. Server Function과 같은 React Server Components는 서버와 클라이언트 간 통신에 Flight 프로토콜을 사용하는데, 이때 발생하는 안전하지 않은 역직렬화가 취약점의 핵심으로 지적되었다. Flight 프로토콜본래 React는 DOM 구성을 클라이언트측에서 수행하..
CVE
CVE-2021-41773 [Apache HTTP Server Path Traversal & RCE] 요약 : 경로 탐색 공격에 쓰이는 문자열에 대한 미흡한 정규화 조치로 인한 경로탐색 및 추가적인 잘못된 환경 설정으로 인한 원격 코드 실행 취약한 버전 Apache HTTP Server 2.4.49 선행조건 httpd.conf내의 Directory directive 설정이 Required all denied 되어있지 않음 (Required all granted거나 Require 구문이 없음), RCE의 경우 mod_cgi가 enable되어 있어야함 mod_cgi - Apache HTTP Server Version 2.4 httpd.apache.org 분석 [Path Traversal] path trave..
