CVE-2026-37531 in app-framework-main
요약
\~에 의해 VulDB • 2026. 05. 29.
AGL app-framework-main 17.1.12 이전 버전에는 위젯 설치 과정에서 Zip Slip 경로 순회 취약점(CWE-22)과 TOCTOU 경합 조건(CWE-367)이 결합되어 있습니다. wgtpkg-zip.c의 is_valid_filename 함수는 ZIP 엔트리 이름을 검증하지만, 절대 경로만 차단할 뿐 점 표기법(dot notation) 디렉토리 순회 시퀀스는 확인하지 않습니다. zread 추출 함수는 openat(workdirfd, filename, O_CREAT)를 사용하여 점 표기법 값을 작업 디렉토리 기준으로 해석하므로, 파일이 파일 시스템의 어디든 작성될 수 있습니다. 특히, wgtpkg-install.c 파일의 install_widget 함수에서 zread를 통한 추출이 check_all_signatures를 통한 서명 검증보다 먼저 발생합니다. 서명 검증이 실패하더라도, 오류 정리 단계(remove_workdir)는 경로 순회를 통해 외부에 작성된 임시 작업 디렉토리 파일만 삭제하므로, 악의적으로 작성된 파일은 영구적으로 남게 됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.