SA-CONTRIB-2026-016: Islandora 임의 파일 업로드 + XSS — 위험한 체인

Source: Dev.to

개요

SA‑CONTRIB‑2026‑016은 하나의 모듈 경로에서 임의 파일 업로드와 **교차 사이트 스크립팅 (XSS)**이라는 두 가지 위험한 취약점 클래스를 결합합니다. 공격자는 Islandora 저장소 인터페이스를 통해 악성 페이로드를 업로드하고, 이를 권한이 부여된 브라우저 세션에서 실행시킬 수 있습니다. 이는 이론적인 것이 아니라 실제적인 공격 체인입니다.

취약점 세부 정보

공격 흐름 (Mermaid 다이어그램)

flowchart TD
    A[Attacker uploads crafted file with malicious payload] --> B{Upload validation in place?}
    B -- No — vulnerable version --> C[File stored without sanitization]
    C --> D[Privileged user views repository item]
    D --> E[XSS payload executes in admin session]
    E --> F[Session hijacking / token theft]
    B -- Yes — patched version --> G[Upload rejected or sanitized]

“업로드와 렌더링 경로 전반에 걸친 검증 및 출력 처리 격차로 인해 공격자가 제어하는 파일이나 페이로드가 저장된 뒤 브라우저 컨텍스트에서 실행될 수 있는 조건이 만들어집니다.”
— Drupal 보안 팀, SA‑CONTRIB‑2026‑016

완화 방안

빠른 버전 확인

# Show the installed version of Islandora
composer show drupal/islandora

업그레이드

# Upgrade to the fixed version
composer require drupal/islandora:^2.17.5

# Clear caches
drush cr

업로드 권한 검토

# List permissions related to Islandora uploads
drush role:perm | grep -Ei "islandora|media|upload"

업그레이드 후 검증

• Islandora 수집 경로에서 정상적인 업로드가 여전히 작동하는지 테스트합니다.
• 업로드된 콘텐츠가 렌더링된 출력에서 스크립트를 실행하지 못하도록 확인합니다.

전체 권고 세부 정보

• 프로젝트: Islandora (drupal/islandora)
• 권고: SA‑CONTRIB‑2026‑016
• CVE: CVE‑2026‑3215
• 게시일: 2026‑02‑25
• 위험도: 중간 정도 위험
• 유형: 임의 파일 업로드, 교차 사이트 스크립팅 (XSS)
• 영향받는 버전: < 2.17.5
• 수정된 버전: 2.17.5

다른 플랫폼에 대한 관련성

임의 파일 업로드와 XSS를 결합한 공격은 CMS 전반에서 흔히 나타나는 패턴입니다. 미디어 업로드, 폼 파일 첨부, 혹은 사용자 정의 포스트 타입 임포트를 처리하는 WordPress 플러그인도 동일한 위험에 노출됩니다. 업로드된 파일 내용이 sanitization 없이 렌더링된다면 저장된 XSS가 쉽게 발생합니다. WordPress 개발자는 다음을 수행해야 합니다:

• wp_check_filetype_and_ext() 를 사용해 업로드 시 파일 확장자, MIME 타입, 내용을 검증합니다.
• 업로드된 파일에서 렌더링되는 출력이 적절히 이스케이프되는지 확인합니다.

Drupal의 Islandora 권고는 사용자 제공 파일을 다루는 모든 CMS에 적용 가능한 사례 연구입니다. 사이트가 2.17.5 이하의 Islandora를 실행 중이라면, 이를 긴급 패치 작업으로 간주하고 먼저 업그레이드한 뒤 실제 편집 워크플로우에서 업로드 및 렌더링 경로를 검증하십시오. 업로드 + XSS 조합은 콘텐츠 관리 문제를 전체 계정 탈취로 이어질 수 있습니다.