CVE-2021-32624 in Keystone 5
요약
\~에 의해 VulDB • 2026. 06. 05.
Keystone 5는 Node.js 애플리케이션을 구축하기 위한 오픈 소스 CMS 플랫폼입니다. 이 보안 권고는 쿼리 인프라에서 새로 발견된 기능으로, 구성된 접근 제어(access control)를 우회하여 비공개 필드(private fields)의 값을 직접 또는 간접적으로 노출시킬 수 있는 문제와 관련이 있습니다. 이는 공격자가 접근 권한이 없는 정보를 드러내려는 시도 중에 공격 방법을 안내하는 오라클(oracle) 기반의 접근 제어 관련 취약점입니다. 공격 완료의 복잡도는 길이 종속적(length-dependent) 동작과 노출된 정보의 정밀도(fidelity)에 의해 제한됩니다. 특정 상황에서는 필드나 목록(field or list)에 `read` 접근 제어가 구성되어 있더라도 필드 값이나 필드 메타데이터를 결정할 수 있습니다. 비공개 필드(private fields) 또는 목록을 사용하는 경우 영향을 받을 수 있습니다. 현재까지 패치는 존재하지 않습니다. 또한 우회 방법(workaround)도 없습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.