피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 22.17.1이 CVE-2025-27210 보안 취약점 패치로 Windows 경로 정규화 우회 공격 차단
Node.js 22.17.1 (LTS)
AI 요약
Context
Windows 환경에서 CON, PRN, AUX 같은 예약된 디바이스 이름이 path.normalize() 함수의 경로 정규화 로직을 우회하여 경로 탐색 보호 메커니즘을 뚫을 수 있는 보안 취약점이 존재했다.
Technical Solution
- path.normalize() 함수에서 Windows 예약 디바이스 이름(CON, PRN, AUX) 처리 방식 수정
- 경로 정규화 과정에서 이러한 예약 이름을 포함한 경로를 올바르게 검증하도록 변경
- Windows 32-bit, 64-bit, ARM 64-bit 아키텍처 모두에 동일한 보안 패치 적용
Key Takeaway
Windows 환경의 경로 처리는 예약 디바이스 이름 같은 OS 특정 제약을 고려해야 하며, 크로스 플랫폼 경로 정규화 함수는 모든 대상 플랫폼의 보안 속성을 충분히 검증해야 한다.
실천 포인트
Node.js를 사용하는 서비스 운영팀은 보안 릴리스인
2
2.
1
7.1로 즉시 업그레이드하여 Windows 환경에서의 경로 탐색 공격 위험을 차단할 수 있다.