CVE-2026-47068 in phoenix_storybook
요약
\~에 의해 VulDB • 2026. 05. 22.
phenixdigital phoenix_storybook의 사용자 제어 키를 통한 권한 우회 취약점으로 인해 URL 쿼리 매개변수를 사용하여 세션 간 PubSub 토픽 주입이 가능합니다.
'lib/phoenix_storybook/live/story/component_iframe_live.ex' 파일의 'Elixir.PhoenixStorybook.Story.ComponentIframeLive':handle_params/3 함수는 params["topic"]에서 PubSub 토픽을 직접 읽으며, 해당 토픽이 요청한 세션에 속하는지 확인하지 않고 {:component_iframe_pid, self()}를 브로드캐스트합니다. 공유되는 PhoenixStorybook.PubSub는 플레이그라운드 LiveViews와 해당 iframe들을 조정하는 데 사용됩니다: 플레이그라운드는 세션별 토픽에 구독하고, 수신된 iframe pid를 사용하여 이후 제어 메시지(변형 상태, 테마 전환, 추가 할당 페이로드 등)를 send/2를 통해 전달합니다. iframe이 쿼리 매개변수를 신뢰하기 때문에, 공격자가 /storybook/iframe/?topic=을 로드하면 공격자의 iframe 프로세스 pid가 피해자의 토픽에 공지됩니다. 이로 인해 피해자의 플레이그라운드는 사적 메시지를 공격자의 iframe 프로세스에 전달하게 됩니다.
이 문제는 0.4.0부터 1.1.0 미만 버전의 phoenix_storybook에 영향을 미칩니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.