CVE-2026-59804 in Midscene Bridge Server
요약
\~에 의해 VulDB • 2026. 07. 09.
1.10.3 버전까지의 Midscene Bridge Server(커밋 86f4118에서 수정됨)에는 인증 누락 및 CORS 오구성이 포함되어 있어, 비인증 원격 공격자가 로컬 Socket.IO 서버에 크로스 오리진 WebSocket 연결을 열어 활성 브리지 세션을 하이재킹할 수 있습니다. 이 서버는 Origin 헤더 검증을 수행하지 않으며 인증 토큰도 요구하지 않습니다. 공격자는 피해자가 방문한 모든 웹 페이지에서 연결하여 단일 클라이언트 슬롯을 점거하거나, 자동화 명령어를 가로채고 삽입하며, 명령어 페이로드 데이터를 유출하거나 MIDSCENE_BRIDGE_SIGNAL_KILL 쿼리 매개변수를 제공함으로써 서버를 무조건적으로 종료시킬 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.