개발자 포털 만드는 데 활용되는 오픈소스인 백스테이지…공격자의 코드 실행 가능하게 해
요약 : 보안 블로그 시큐리티어페어즈는 보안 업체 옥스아이(Oxeye)의 말을 인용해 스포티파이(Spotify)의 백스테이지(Backstage)에서 9.8점짜리 초고위험도 취약점이 발견됐음을 알렸다. 이 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 원격에서 임의의 코드를 실행할 수 있게 된다. 현재 백스테이지 개발팀은 이 문제를 제보받고 1.5.1 버전을 발표해 픽스한 상태다. 현재 500개 이상의 취약한 백스테이지가 인터넷을 통해 노출되어 있는 상황이라고 한다.
![[보안뉴스 / 11.16.] 스포티파이의 백스테이지에서 초고위험도 원격 코드 실행 취약점 발견돼](http://www.boannews.com/media/upFiles2/2022/11/510954931_2381.jpg)
[이미지 = utoimage]
배경 : 백스테이지는 스포티파이의 오픈소스 플랫폼으로, 수많은 기업들이 이를 이용해 개발자 포털을 구축한다. 아메리칸항공, 넷플릭스, 스플렁크, 피델리티, 에픽게임즈 등이 주요 사용자 기업인 것으로 알려져 있다. 이번에 발견된 취약점은 CVE-2022-36067이라는 샌드박스 탈출 취약점을 발동시킴으로써 익스플로잇이 가능하다고 한다.
말말말 : “CVE-2022-36067을 익스플로잇 하는 데 성공한 공격자라면 백스테이지 애플리케이션에서 임의의 시스템 명령을 실행할 수도 있습니다.” -옥스아이-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181718-500x383.png)
![[보안뉴스 / 6.1.] 렘코스·폼북 등 악성코드 유포 파일 역할… 닷넷 패커의 정체](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181402-500x383.png)
![[보안뉴스 / 6.5.] 새로운 리눅스 랜섬웨어 블랙수트, 로얄과 유사한 점 많아](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-142556-500x383.png)
![[보안뉴스 / 11.16.] 스포티파이의 백스테이지에서 초고위험도 원격 코드 실행 취약점 발견돼](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
