개요
Scoold에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-50334
- Scoold 버전: ~ 1.64.0(제외)
해결된 취약점
/api;/config 엔드포인트에서 세미콜론 경로 삽입 취약점을 통해 인증 우회를 할 수 있으며, Content-Type: application/hocon 헤더로 PUT 요청 시 HOCON 파일 포함을 이용해 서버의 민감한 설정 파일을 읽을 수 있는 취약점(CVE-2024-50334)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-50334
- Scoold 버전: 1.64.0
참고사이트
[1] CVE-2024-50334 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-50334
[2] Semicolon Path Injection on API /api;/config
https://github.com/Erudika/scoold/security/advisories/GHSA-fhwp-f6g7-rr3p