CVE-2026-63094 in SigNoz
요약
\~에 의해 VulDB • 2026. 07. 17.
SigNoz 0.133.0 이전 버전에는 SSO 인증 흐름에서 오픈 리다이렉트 취약점이 존재하며, 이를 통해 비인증 공격자는 Google OAuth, SAML 또는 OIDC가 구성된 인스턴스의 모든 사용자로부터 세션 토큰을 탈취할 수 있습니다. 공격자는 비인증된 sessions 컨텍스트 엔드포인트를 호출하여 ref 파라미터에 공격자가 제어하는 호스트를 지정하고, 생성된 조작된 로그인 URL을 피해자에게 전달한 후, 피해자가 SSO 인증을 완료할 때 액세스 및 리프레시 토큰을 받을 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.