타입스크립트 기반 웹 프레임워크 AdonisJS에서 서버 파일 시스템 전체가 위험에 노출될 수 있는 고위험 취약점이 발견됐다. 공격자는 이를 악용해 서버의 임의 경로에 파일을 저장하거나 기존 시스템 파일을 덮어쓸 수 있어, 서비스 장악까지 이어질 수 있는 상황이다.
이번 취약점은 CVE-2026-21440으로 분류되었으며, 공통취약점점수시스템(CVSS) 기준 9.2점의 심각한 보안 결함으로 평가된다.
■ MultipartFile.move() 메서드, 경로 조작에 무방비
문제의 핵심은 adonisjs/bodyparser 모듈에서 멀티파트 파일 업로드 시 사용되는
MultipartFile.move() 메서드에 있다.
이 메서드는 기본 설정 상태에서 클라이언트가 전달한 파일명을 충분히 검증하지 않고 그대로 사용한다. 이로 인해 공격자는 파일명에 ../ 등의 경로 이동 문자열을 삽입해, 원래 지정된 업로드 디렉터리를 벗어나 서버 내 어느 위치든 파일을 작성할 수 있다.
예를 들어 공격자가 다음과 같은 파일명을 전달할 경우,
../../../../app/config/app.js
업로드 처리 과정에서 서버 핵심 설정 파일이 덮어써질 수 있다.
■ 원격 코드 실행(RCE)까지 가능
해당 취약점은 단순한 파일 업로드 문제를 넘어, 다음과 같은 치명적 결과로 이어질 수 있다.
- 실행 중인 서버 스크립트 덮어쓰기
- 설정 파일 변조
- 백도어 설치
- 원격 코드 실행(RCE)
- 사용자 데이터 유출 및 서비스 마비
특히 이 공격은 인증 절차 없이 원격에서 가능하다는 점에서, 시스템 전체의 신뢰성을 무너뜨릴 수 있는 위협으로 평가된다.
■ 영향 받는 버전
이번 결함은 다음 버전에서 확인됐다.
- AdonisJS 10.1.1 이하
- AdonisJS 11.0.0-next.5 이하
개발팀은 문제 인지 직후 보안 패치를 배포했으며, 현재는 다음 버전으로 업데이트할 것이 강력히 권고된다.
- 10.1.2
- 11.0.0-next.6
■ 패치 전까지 반드시 해야 할 대응
업데이트가 어려운 환경이라면, 최소한 다음과 같은 임시 조치가 필요하다.
- 파일 업로드 시 파일명에 대한 화이트리스트 검증 적용
- ../, %2e%2e%2f 등 경로 이동 문자열 차단
- 업로드 디렉터리 외부로의 접근 시도 로그 모니터링
- 비정상적인 파일 업로드 요청에 대한 WAF 차단 룰 설정
■ 프레임워크 기본값을 신뢰하면 위험하다
이번 사건은 현대적인 웹 프레임워크라 해도 기본 설정만으로는 충분한 보안을 보장하지 않는다는 사실을 다시 한 번 보여준다.
편의성을 위해 제공된 기본 업로드 기능이, 오히려 서버를 통째로 내주는 가장 취약한 지점이 될 수 있다.
개발자는 외부 입력값에 대해 반드시 명시적 검증 로직을 구현해야 하며,
“프레임워크가 알아서 처리해주겠지”라는 가정은 이제 버려야 할 때다.
✔ 정리
- AdonisJS 파일 업로드 기능에서 서버 임의 파일 쓰기 가능
- CVE-2026-21440 / CVSS 9.2점
- 인증 없이 원격 공격 가능 → RCE로 이어질 수 있음
- 즉시 최신 버전으로 업데이트 필수
지금 이 순간에도 취약한 서버는 공격자의 표적이 되고 있을 수 있다.
AdonisJS를 운영 중이라면, 오늘 안에 반드시 점검과 업데이트를 권장한다.
'보안(News)' 카테고리의 다른 글
| 국내 대표 교육기업, 랜섬웨어 의심 공격에 ‘비상’…회원 데이터 보호에 총력 (0) | 2026.01.13 |
|---|---|
| 🔐 2026년을 뒤흔들 사이버전쟁…국정원이 경고한 새로운 위협 지형 (0) | 2026.01.09 |
| 크롬 확장 프로그램에 숨은 함정…AI 대화 내용까지 빼돌린 ‘프롬프트 포칭’ 공격 (0) | 2026.01.08 |
| ⚡ 루마니아 핵심 발전사, 랜섬웨어에 IT 전산망 붕괴…국가 기간시설 보안 ‘적신호 (0) | 2025.12.30 |
| 🔐 보안에 지갑 여는 기업들…정보보호 공시 기업 평균 투자액 32억 원 돌파 (0) | 2025.12.30 |
