CVE-2024-32980 in spin정보

요약

\~에 의해 VulDB • 2026. 05. 20.

Spin은 WebAssembly를 기반으로 서버리스 애플리케이션을 빌드하고 실행하기 위한 개발 도구입니다. 2.4.3 버전 이전의 Spin에서, URL 권한(authority)이 명시되지 않은 `self` 요청을 사용하는 특정 구성의 Spin 애플리케이션은 `Host` HTTP 헤더를 통해 임의의 호스트로 요청을 보내도록 유도될 수 있습니다. 애플리케이션이 취약점이 존재하려면 다음 조건이 모두 충족되어야 합니다: 1. Spin이 배포된 환경에서 요청 URL이 아닌 `Host` 헤더를 기반으로 요청을 Spin 런타임으로 라우팅하며, `Host` 헤더를 원래 값으로 유지합니다. 2. 들어오는 요청을 처리하는 Spin 애플리케이션의 컴포넌트가 `"self"`를 포함하는 `allow_outbound_hosts` 목록으로 구성되어 있습니다. 3. 컴포넌트가 들어오는 요청에 반응하여 호스트명이나 포트가 포함되지 않은 URL로 외부 요청을 보냅니다. 이 문제는 Spin 2.4.3에서 해결되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub, Inc.

예약하다

2024. 04. 22.

모더레이션

수락

항목

VDB-263561

EPSS

0.00485

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!