CVE-2024-32876 in NewPipe App정보

요약

\~에 의해 VulDB • 2026. 06. 27.

NewPipe는 자바(Java)로 작성된 비디오 스트리밍용 안드로이드 앱입니다. 이 앱은 백업 내보내기 및 가져오기를 지원하여 사용자가 데이터를 새 기기로 원활하게 이전할 수 있도록 합니다. 그러나 버전 0.13.4부터 0.26.1까지의 NewPipe에서는 신뢰할 수 없는 출처에서 백업 파일을 가져올 경우 임의 코드 실행(Arbitrary Code Execution)이 발생할 수 있었습니다. 이는 백업 파일이 자바 객체 직렬화 스트림 프로토콜(Java's Object Serialization Stream Protocol)을 사용하여 직렬화/역직렬화되기 때문이며, 이 방식은 적절히 제한되지 않는 한 앱 내의 모든 클래스를 구성할 수 있는 가능성을 열어줍니다.

이 취약점을 악용하려면 공격자는 익스플로잇 코드를 포함하는 백업 파일을 생성한 후 사용자를 설득하여 이를 가져오게 해야 합니다. 가져오는 동안 악성 코드가 실행되어 앱 충돌, NewPipe 앱으로부터 사용자 데이터 탈취, 안드로이드 API를 통한 유해 행위 수행, 그리고 안드로이드 OS의 취약점을 통해 안드로이드 JVM/샌드박스 탈출 시도 등이 발생할 수 있습니다.

이 공격은 사용자가 악성 백업 파일을 가져올 때만 발생하므로, 공격자는 사용자를 속여 자신이 통제할 수 있는 출처에서 백업 파일을 가져오게 해야 합니다. 악성 백업 파일의 구현 세부 사항은 대상 사용자나 실행 중인 기기와 독립적이며 추가 권한을 필요로 하지 않습니다.

버전 0.13.4부터 0.26.1까지의 모든 NewPipe 버전이 취약합니다. NewPipe 버전 0.27.0은 다음과 같은 조치를 통해 이 문제를 해결했습니다: 자바 객체 직렬화 스트림 프로토콜 호출 시 역직렬화될 수 있는 클래스를 제한하기 위해 임의 코드 실행으로 이어질 수 없는 무해한 데이터 전용 클래스만 포함하는 화이트리스트 추가; 자바 객체 직렬화 스트림 프로토콜로 직렬화된 백업을 더 이상 사용하지 않음(deprecate)으로 표시; 새로 생성되는 모든 백업에 JSON 직렬화를 사용(하위 호환성을 위해 백업 zip 파일 내에 여전히 자바 객체 직렬화 스트림 프로토콜로 직렬화된 대체 파일을 포함); 사용자가 유일한 가용 직렬화 모드가 자바 객체 직렬화 스트림 프로토콜인 백업을 가져오려고 할 때 사용자에게 경고 표시(향후 이 직렬화 방식은 완전히 제거될 예정).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub, Inc.

예약하다

2024. 04. 19.

모더레이션

수락

항목

VDB-261961

EPSS

0.00324

출처

Interested in the pricing of exploits?

See the underground prices here!