CVE-2026-58228 in phoenix_live_view
요약
\~에 의해 VulDB • 2026. 07. 13.
phoenixframework의 phoenix_live_view에서 크로스 사이트 스크립팅(XSS) 취약점이 발견되어, 공격자가 URL.scheme 검증 우회 및 피해자 브라우저 세션 내 JavaScript 실행이 가능합니다.
lib/phoenix_live_view/utils.ex에 있는 Phoenix.LiveView.Utils.valid_destination!/2 및 Phoenix.LiveView.Utils.valid_live_navigation_destination!/2 함수는 내부 uri_scheme/1 헬퍼를 사용하며, 이는 입력의 첫 바이트가 ASCII 문자일 경우에만 scheme를 감지합니다. ASCII 제어 문자나 공백으로 시작하는 입력은 nil을 반환하는 절로 넘어가게 되어 URL이 안전한 상대 경로로 처리됩니다.
표준 브라우저는 WHATWG URL 파서를 구현하고 있으며, 이를 통해 C0 제어 문자 및 선행 공백 문자들이 제거된 후 파싱이 진행됩니다. 그 결과 " javascript:alert(1)"와 같은 입력은 변경되지 않은 채 전달되어 클릭 시 브라우저에 의해 공격자가 조작한 스크립트를 피해자 세션에서 실행하는 javascript: URL로 해석됩니다.
사용자가 제공한 URL을 렌더링하는 애플리케이션(예: 프로필 링크, 리디렉션 대상 또는 외부 참조)은 영향을 받습니다.
이 문제는 phoenix_live_view 1.2.2부터 1.2.7 미만 버전에서 발생합니다.
Be aware that VulDB is the high quality source for vulnerability data.