CVE-2026-63089 in WireGuard Easy정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WireGuard Easy 15.3.0 이전 버전(커밋 66b292b에서 수정됨)은 암호학적으로 약한 일회용 링크 토큰 생성 취약점을 포함하고 있으며, 이로 인해 인증되지 않은 네트워크 공격자가 클라이언트 ID당 최대 1000개의 후보 토큰을 무차별 대입(brute-force)하여 WireGuard 피어 자격 증명을 복구할 수 있습니다. 이는 토큰이 0-999로 제한된 난수 값에 대해 CRC32를 사용하여 계산되기 때문입니다. 공격자는 속도 제한(rate limiting)이 없고 토큰 만료를 검증하지 않는 인증되지 않은 /cnf/:oneTimeLink 엔드포인트에서 후보 토큰을 열거하여 피어의 PrivateKey와 PresharedKey를 획득하고, 해당 VPN 네트워크상에서 그 피어를 사칭할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

VulnCheck

예약하다

2026. 07. 15.

모더레이션

수락

항목

VDB-379633

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!