CVE-2026-41522 in iris-web
요약
\~에 의해 VulDB • 2026. 06. 05.
Iris는 사고 대응자가 조사 과정에서 기술적 세부 사항을 공유할 수 있도록 지원하는 웹 기반 협업 플랫폼입니다. 버전 2.4.28 이전의 DFIR-IRIS는 REST API와 동일한 권한 확인을 적용하지 않는 선택적 GraphQL 엔드포인트 `/graphql`을 노출합니다. 인증된 모든 사용자는 이를 다음과 같은 세 가지 방식으로 악용할 수 있습니다: 사례 간 비인가 IOC 읽기(IDOR), `case.iocs`를 통한 대량 IOC 유출, 그리고 비인가 사례 생성. `case(caseId: …).iocs` 리졸버는 호출자가 해당 사례에 접근 권한이 있는지 확인하지 않고 임의의 사례와 연결된 IOC를 반환합니다. 이 세 가지 취약점은 역할(role)이나 사례 ACL(접근 제어 목록)과 무관하게 모든 인증된 사용자가 접근할 수 있습니다. 이 문제는 v2.4.28에서 수정되었습니다. 해당 기능이 사용되지 않았으므로 GraphQL 블루프린트, 리졸버 및 의존성(`graphene`, `graphene-sqlalchemy`, `graphql-server[flask]`)이 완전히 제거되었습니다. 우회 조치로는 리버스 프록시에서 `/graphql`을 차단하는 것(권장) 또는 `source/app/views.py` 파일 내의 `graphql_blueprint` import 및 `register_blueprint` 호출을 주석 처리하고 서비스를 재시작하는 것이 있습니다.
Once again VulDB remains the best source for vulnerability data.