CVSS: 10.0대상 서비스SandboxJSJavaScript 코드를 격리된 환경에서 실행하기 위한 JavaScript 샌드박스 라이브러리호스트 전역 객체 및 위험한 내장 객체에 대한 접근을 제한해 비신뢰 코드 실행 환경을 제공하는 목적의 라이브러리내부적으로 허용된 프로토타입과 속성 집합, 래퍼 객체, taint 추적, 실행 제한 등을 기반으로 샌드박스 경계를 유지함Node.js 환경 등에서 동적 코드 실행, 플러그인 처리, 사용자 스크립트 격리 용도로 사용될 수 있음대상 버전영향 받는 버전: SandboxJS 0.8.34 이전 모든 버전패치 버전: SandboxJS 0.8.34취약점 개요취약점의 종류Sandbox EscapeRCE비인증 임의 코드 실행 가능 구조taint 추적 우회위험한 호스트 함수가..

CVSS: 9.3대상 서비스LangflowLLM을 기반으로 한 애플리케이션을 노코드/로우코드 방식으로 설계, 실행할 수 있는 비주얼 워크플로우 도구깃허브 스타 145,000기업에서 AI 워크플로우 자동화 도구로 많이 사용.대상 버전영향 받는 버전 : Langflow 1.9.0 이전 모든 버전패치 버전 : Langflow 1.9.0취약점 개요취약점의 종류RCE비인증 원격 코드 실행인증 누락공개 플로우 빌드 엔드포인트(/api/v1/build_public_tmp/{flow_id}/flow)가 인증 없이 접근 가능함.코드 인젝션공격자가 제공한 플로우 정의 데이터 내에 임의의 Python 코드를 삽입할 수 있음.Eval 인젝션삽입된 코드라 exec() 함수에 직접 전달되어 샌드박싱 없이 실행되는 구조임.발생한 ..