CVE-2023-50713 in Server
요약
\~에 의해 VulDB • 2026. 06. 04.
Speckle Server는 Speckle 3D 데이터 플랫폼을 위한 서버, 프론트엔드, 3D 뷰어 및 기타 JavaScript 유틸리티를 제공합니다. 버전 2.17.6 이전의 Speckle Server에는 다음 조건 중 하나에 해당하는 사용자에게 영향을 미치는 취약점이 있습니다: 'token write' 범위를 요청하는 애플리케이션을 승인했거나, frontend-2를 사용하여 `token write` 범위의 개인 액세스 토큰(PAT)을 생성한 경우입니다. 새 토큰을 생성할 때 에이전트는 기존 토큰('요청 토큰')을 사용하여 요청에 대한 승인을 수행해야 합니다. 새로운 토큰을 생성하려면 요청 토큰이 'token write' 범위를 가져야 합니다. 그러나 Speckle 서버는 새 토큰에 부여된 다른 특권이 요청 토큰의 특권을 초과하지 않는지 검증하지 않았습니다. 악성 행위자는 'token write' 범위만 가진 토큰을 사용하여 추가特권으로 후속 토큰들을 생성할 수 있습니다. 이러한 새로 생성된 토큰이 부여하는 특권은 사용자의 기존 특권을 넘어서지는 않습니다. 이 취약점을 통해 사용자 특권이 승급되거나 다른 사용자를 대신하여 특권이 부여되지는 않습니다.
본 문제는 버전 2.17.6에서 패치되었습니다. Speckle 서버 운영자는 서버를 버전 2.17.6 이상으로 업그레이드해야 합니다. 'token write' 범위로 애플리케이션을 승인했거나 frontend-2에서 `token write` 범위의 토큰을 생성한 사용자는 기존 토큰을 검토하고 인식하지 못하는 모든 토큰에 대해 영구적으로取り消시(revoke)해야 하며, 기존 토큰を取り消し하고 새 토큰을 생성하며 계정 사용을 통해 의심스러운 활동을 확인해야 합니다. 이 문제에 대한 알려진 우회 방법은 없습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.