전체글

Copy Fail(CVE-2026-31431)은 Linux kernel의 algif_aead 경로에서 AF_ALG와 splice()를 조합해 읽기 가능한 파일의 page cache에 쓰기 효과를 만드는 취약점으로 설명된다. 공개 자료 기준 핵심은 authencesn 처리 중 생기는 4바이트 scratch write와 in-place 경로의 결합이다. 공개...

2026-04-21 Mozilla는 Firefox 150 보안 권고를 공개했다. DOM, WebRTC, WebCodecs, Canvas2D, WebRender, JavaScript Engine, WebAssembly 경로가 한 번들로 묶였고, 6784~6786 같은 roll-up memory safety 항목도 함께 정리됐다. 같은 날짜의 번들은 Thund...

CVE-2026-33825는 Microsoft Defender의 로컬 권한 상승 취약점이다. NVD는 이를 로컬에서 권한을 올릴 수 있는 문제로 설명했고, CVSS 3.1 점수는 7.8이다. CISA KEV에는 2026-04-22에 추가됐다.

Birdragon RPG에 이어 이번에는 3D 웹게임에 도전해봤다. 이번 프로젝트는 별도의 엔진 없이 Claude Design을 활용해 3D 웹 환경을 구성했다. 초기에는 지수씨의 요청으로 "간단한 3D 방탈출"이라는 목표만 정의하고, 공간 구조와 퍼즐 요소를 단계적으로 확장하는 방식으로 진행했다.

CVE-2024-23897은 args4j의 expandAtFiles가 CLI 인자를 파일 내용으로 펼치는 점에서 시작한다. CVE-2024-23898은 Jenkins CLI WebSocket endpoint의 Origin 검증 부재다. 둘 다 Jenkins CLI 표면에 걸려 있지만 트리거와 관측 지점은 다르다.

사이드 프로젝트를 진행할 때 가장 큰 제약은 구현까지 도달하는 시간이다. 아이디어는 충분하지만, 실제로 동작하는 결과물로 이어지는 과정은 길고 복잡하다.

CVE-2026-20184는 Cisco Webex Control Hub의 SSO 인증서 검증 결함이다. 인증되지 않은 원격 공격자가 서비스 엔드포인트에 조작된 토큰을 보내면 Webex 서비스 안의 다른 사용자로 가장할 수 있었다. Cisco는 2026-04-15에 공지를 냈고, SSO trust anchors를 쓰는 조직은 2026-04-30 전에 새 ce...

Nginx UI의 MCP 라우팅에서 /mcp와 /mcp_message의 인증 체인이 분리돼 있었다. 기본 IP 화이트리스트가 비어 있으면 허용으로 떨어져, 노출된 관리면에서는 MCP 도구 호출이 그대로 이어질 수 있다. 패치에서는 /mcp_message에도 AuthRequired()가 추가됐다.

2026-04-14 Microsoft Patch Tuesday에 Microsoft Office의 use-after-free 취약점인 CVE-2026-32190가 포함됐다. 같은 날 공개된 Cisco Talos와 The Hacker News 정리에서는 이 항목을 로컬 코드 실행 가능성이 있는 이슈로 다뤘다.

Marimo의 WebSocket 노출 이슈는 2026-04-08에 공개됐다. 2026-04-12 보도는 공개 뒤 공격 시도가 이어졌다고 다뤘다. 기사 기준 영향 범위는 0.20.4 이하로 적혔고, 수정 버전은 0.23.0이다.