CVE-2026-42047 in inngest-js
요약
\~에 의해 VulDB • 2026. 05. 09.
Inngest는 큐잉, 재시도 및 단계 오케스트레이션 기능을 갖춘 이벤트 기반 및 예약된 백그라운드 함수를 실행하기 위한 플랫폼입니다. 버전 3.22.0부터 3.53.1까지에는 호스트 프로세스의 환경 변수를 `serve()` HTTP 핸들러를 통해 유출할 수 있는 인증되지 않은 원격 공격자가 악용할 수 있는 취약점이 존재합니다. `serve()` 핸들러는 GET, POST 및 PUT 메서드를 구현합니다. PATCH, OPTIONS 또는 DELETE를 사용하는 요청은 진단 정보를 반환하는 일반 핸들러로 전달됩니다. v3.22.0에서 도입된 변경 사항으로 인해 이 진단 응답에 `process.env`의 내용이 포함되면서 환경에 존재하는 모든 비밀 키, API 키 또는 자격 증명이 노출되었습니다. `serve()` 엔드포인트가 PATCH, OPTIONS 또는 DELETE 요청을 통해 접근 가능한 경우 애플리케이션은 취약합니다. 이는 Next.js Pages Router 또는 Express의 `app.use(...)`와 같은 설정에서 흔히 발생합니다. GET, POST 및 PUT만 내보내는 Next.js App Router 핸들러와 `connect` 워커 메서드를 사용하는 애플리케이션은 영향을 받지 않습니다. 이 문제는 버전 3.54.0에서 수정되었습니다. 즉시 업그레이드가 불가능한 경우 이 문제를 우회하기 위해 프레임워크 또는 리버스 프록시 계층에서 `serve()` 엔드포인트를 GET, POST 및 PUT만 허용하도록 제한하십시오. Inngest `serve()` 엔드포인트는 다른 HTTP 메서드를 필요로 하지 않습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.