CVE-2026-21619: Erlang Hex 생태계에서의 안전하지 않은 역직렬화 (hex_core, rebar3)
발행: (2026년 3월 1일 오후 03:10 GMT+9)
2 분 소요
원문: Dev.to
Source: Dev.to
개요
취약점 ID: CVE-2026-21619
CVSS 점수: 2.0 (낮음) – CVSS v4.0
공개일: 2026-03-01
hex_core(Hex 패키지 매니저 API의 레퍼런스 구현)에서 심각한 안전하지 않은 역직렬화 취약점이 존재합니다. 이 결함은 HTTP 응답 본문을 처리할 때 위험한 binary_to_term/1 함수를 사용함으로써 발생합니다. 패키지 미러를 제어하거나 네트워크 트래픽을 가로챌 수 있는 공격자는 악의적인 Erlang 항목을 삽입하여 다음과 같은 영향을 일으킬 수 있습니다:
- 서비스 거부(DoS) – 원자 테이블 고갈
- 객체 삽입을 통한 잠재적인 원격 코드 실행(RCE)
CWE‑502 – 신뢰할 수 없는 데이터 역직렬화
CWE‑400 – 통제되지 않은 자원 소비
공격 벡터: 네트워크
Exploit 상태: 개념 증명(PoC) 제공
영향을 받는 구성 요소
| 구성 요소 | 영향받는 버전 | 수정된 버전 |
|---|---|---|
hex_core | (소스에 명시되지 않음) | (소스에 명시되지 않음) |
전체 CVE 보고서: CVE‑2026‑21619 details (external site) (실제 URL로 교체)