피드로 돌아가기
Node.js 20.19.4 (LTS)
Node.js BlogNode.js Blog
Security

Node.js 20.19.4가 Windows 기본 예약어(CON, PRN, AUX)를 악용한 경로 우회 취약점(CVE-2025-27210) 패치

Node.js 20.19.4 (LTS)

2025년 7월 15일2intermediate

AI 요약

Context

Windows 운영체제의 기본 예약어(CON, PRN, AUX 등)를 path.normalize() 함수에서 제대로 검증하지 않아 경로 우회 공격에 취약했다.

Technical Solution

  • path.normalize() 함수에서 Windows 기본 예약어에 대한 검증 로직 추가
  • 경로 정규화 과정에서 예약어를 포함한 경로 문자열에 대한 필터링 강화

Impact

아티클에 정량적 수치 없음.

Key Takeaway

Windows 환경에서 파일 경로를 다루는 Node.js 애플리케이션은 OS 레벨의 예약어로 인한 보안 위험을 인식하고, 버전 20.19.4 이상으로 업그레이드하여 경로 우회 공격을 차단해야 한다.

실천 포인트

Windows 서버에 배포된 Node.js 애플리케이션에서 사용자 입력을 기반으로 파일 경로를 구성할 때, Node.js

2

0.

1

9.4 이상 버전을 사용하면 path.normalize()를 통한 경로 정규화 시 Windows 예약어 관련 경로 우회 공격을 방어할 수 있다.

태그

#Windows#Path Traversal#CVE-2025-27210#Node.js#Security
원문 읽기