개요
- Anthropic은 프로젝트 글래스윙(ProjectGlasswing) 추진 과정에서 다수의 주요 오픈 소스 소프트웨어 취약점을 발표하였다.
대상 제품
- 영향을 받는 제품은 NGINX Open Source, NGINX Plus, jq, MapServer, Temporal Server, wolfSSL, HashiCorp Nomad / Nomad Enterprise, libyang, Craft CMS, Mastodon, gix / gitoxide, junrar, FreeRDP, Ghost, ImageMagick, MinIO이다.
- 공개된 취약점은 힙 버퍼 오버플로우, 임의 파일 쓰기, 접근 제어 오류, 암호화 실패, 서명 우회, 정수 오버플로우, 인증서 검증 오류, 경로 탐색, 사용 후 해제(use-after-free), 권한 상승, SSRF(서버 측 요청 위조), 원격 코드 실행, SQL 인젝션 등이다.
- 관련 CVE와 GHSA 항목으로는 CVE-2026-27654, CVE-2026-32316, CVE-2026-33721, CVE-2026-5199, CVE-2026-5446, CVE-2026-5447, CVE-2026-5448, CVE-2026-5466, CVE-2026-5477, CVE-2026-5479, CVE-2026-5500, CVE-2026-5501, CVE-2026-5503, CVE-2026-7474, GHSA-9f49-8×56-jmjc, GHSA-cc7p-2j3x-x7xf, GHSA-chgx-jx3p-rf73, GHSA-crr4-7rm4-8gpw, GHSA-f26g-jm89-4g65, GHSA-j273-m5qq-6825, GHSA-mpxh-8fq3-x8mh, GHSA-w52v-v783-gw97, GHSA-x9h5-r9v2-vcww, GHSA-xh8f-g2qw-gcm7가 포함된다.
취약점 패치
- 패치는 최신 업데이트를 통해 제공되었으며, 각 제품은 안내된 최신 패치 버전 이상으로 업데이트해야 한다.
- 예시로 NGINX Open Source는 1.28.3 이상 또는 1.29.7 이상, NGINX Plus는 R36 이상이 필요하다.
- 이외에도 MapServer는 8.6.1 이상, Temporal Server는 1.29.5 이상 또는 1.30.3 이상, wolfSSL은 5.9.1 이상, HashiCorp Nomad / Nomad Enterprise는 2.0.1 이상 또는 각 분기별 기준 이상, libyang은 5.2.6 이상, Craft CMS는 4.17.6 이상 또는 5.9.12 이상, Mastodon은 각 분기별 기준 이상, gix / gitoxide는 0.83.0 이상, junrar는 7.5.8 이상, FreeRDP는 3.26.0 이상, Ghost는 6.19.1 이상, ImageMagick은 7.1.2-19 이상 또는 6.9.13-44 이상, MinIO는 RELEASE.2026-04-14T21-32-45Z 이상으로 업데이트해야 한다.