CVE-2026-33690: CVE-2026-33690: IP Address Spoofing via Unsafe Header Processing in WWBN AVideo

Context

WWBN AVideo는 X-Forwarded-For, X-Real-IP 등 사용자 제어 가능한 HTTP 헤더를 실제 TCP 연결 주소보다 우선하여 클라이언트 IP를 결정했다. 이로 인해 공격자가 임의의 IP 주소를 위조하여 IP 기반 보안 제어(rate limiting, 지역 제한, 접근 정책)를 우회할 수 있었다.

Technical Solution

• IP 검색 로직을 조건부 신뢰 모델로 리팩토링: 프라이빗 IP 범위 기반으로 HTTP 헤더 신뢰 여부 판단
• 리버스 프록시(Nginx, HAProxy)에서 외부 클라이언트로부터 오는 X-Forwarded-For, X-Real-IP 헤더 제거 또는 덮어쓰기
• 26.1 이상 버전으로 업데이트: 커밋 1a1df6a9377e5cc67d1d0ac8ef571f7abbffbc6c 포함 확인
• 기존 애플리케이션 로그 감시: 역사적 IP 주소 이상 현상 감사

Key Takeaway

리버스 프록시 뒤에 배치된 애플리케이션은 모든 IP 기반 헤더를 신뢰하지 말고, 프라이빗 네트워크 범위(내부 프록시)와 공개 네트워크(외부 클라이언트)를 명확히 구분한 조건부 검증 모델을 구현해야 한다. 엣지에서의 헤더 제거와 애플리케이션 내 검증을 계층화하는 방어 전략이 필수다.