개요
xml-crypto 패키지에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
xml-crypto 버전 : 4.0.0(포함) ~ 6.0.0(제외)
해결된 취약점
xml-crypto의 서명의 부적절한 검증 및 서명 스푸핑으로 인한 XML 서명 검증 우회 (CVE-2024-32962)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
xml-crypto 6.0.0 버전
참고 사이트
[1] CVE-2024-32962 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-32962
[2] XML signature verification bypass due improper verification of signature / signature spoofing
https://github.com/node-saml/xml-crypto/security/advisories/GHSA-2xp3-57p7-qf4v