블로그

CVE-2026-20093는 Cisco CIMC 관리면에서 비인증 공격자가 Admin 수준 접근을 얻을 수 있는 인증 우회 이슈로 정리된다. 공개 보도에서는 password change 처리의 검증 결함이 핵심으로 다뤄졌다. 서버 OS와 분리된 out-of-band 관리면이라서, 호스트 EDR만으로는 행위가 잘 안 보일 수 있다.

CVE-2025-59528은 Flowise의 CustomMCP 노드에서 외부 MCP 서버 설정 입력이 안전하게 처리되지 않으면서 서버 측 코드 실행으로 이어질 수 있는 취약점이다. 2026-04-07 공개 보도에서는 실제 악용 가능성을 언급했고, NVD에도 설정 입력이 코드 평가 경로로 이어질 수 있다는 취지의 설명이 올라와 있다. 공개 자료 기준으로 확인...

CVE-2026-35616은 FortiClient EMS의 접근 제어 결함이다. 인증되지 않은 요청이 관리 기능으로 이어지면 코드 또는 명령 실행으로 확장될 수 있다. 공개일은 2026-04-05였다. 같은 날 패치와 hotfix가 공개됐다. 2026-04-06에는 CISA가 KEV에 추가했고, FCEB 패치 시한은 2026-04-09였다. 공개 보도에서는...

2026년 4월 1일(현지 기준), Google은 Chrome 안정 채널 업데이트를 통해 21건의 보안 취약점을 수정했다. 이 중 CVE-2026-5281은 Google이 실제 공격에 악용되고 있음을 공식 확인한 제로데이 취약점이다. 취약점은 Chrome의 WebGPU 구현체인 **Dawn** 컴포넌트에서 발생하는 **Use-After-Free(UAF)**...

2026년 3월 말 공개된 Axios 공급망 공격은 단순한 패키지 오염 사건이 아니라, 널리 사용되는 오픈소스 배포 경로가 실제 침해 지점이 될 수 있음을 다시 보여준 사례다. 이번 이슈에서는 npm 배포 계정 침해, 악성 버전 게시, 후속 페이로드 실행, 그리고 대응 과정까지 한 흐름으로 이어졌다는 점이 중요하다. 이 글은 공개된 분석 자료를 기준으로 사...

2026년 3월 31일, @anthropic-ai/claude-code 배포본에 소스맵과 이를 통해 접근 가능한 TypeScript 원본 자산이 포함되면서 Claude Code 내부 구현이 대량으로 외부에 노출됐다. 공개 정황상 고객 데이터나 비밀키 유출보다는 패키징 실수에 가까우며, Anthropic도 보안 침해보다는 릴리스 프로세스 오류라는 취지로 설...

2026-03-31 공개 보도에서 TrueConf 업데이트 체인의 무결성 검증 결함이 CVE-2026-3502로 추적됐다. 공개 자료는 배포 경로가 조작되면 신뢰된 업데이트처럼 보이는 파일이 전달될 수 있다고 적고 있다. 영향 버전과 실제 공격 단계는 공개 자료만으로 확정되지 않았고, 추가 정확한 공개 날짜도 확인되지 않았다.

Outlook 메일안에 주소를 클릭했을 때 오류가 나는데 그냥 그런 갑다하고 쓰는 사람들이 있어서 이 글을 쓴다.

안드로이드 앱 진단 시 매번 SSL Pinning 우회 스크립트를 검색해서 쓰는데 검색하기도 귀찮고 잘 안된다.

안드로이드 앱 진단 시 스크린샷을 찍을 경우 폰에서 찍은 뒤 저장소에서 PC로 복사하기가 여간 귀찮은게 아니다.