https://m.boannews.com/html//detail.html?idx=142575
Node.js 생태계의 대표적인 ORM 라이브러리인 ‘시퀄라이즈(Sequelize) v6’ 계열에서 데이터베이스 전체를 탈취할 수 있는 SQL 인젝션 취약점(CVE-2026-30951)이 공개됐다. JSON 칼럼 기능을 사용하는 서비스가 영향권에 있는데, 6.37.8 버전으로의 즉각적인 업데이트가 요구된다.
m.boannews.com
사용자가 입력한 값을 자동으로 필터링해 해킹 공격을 원천 차단하는 핵심 보안 도구로 여겨져 왔다.
그러나 이번 취약점은 굳게 믿었던 주방 내부에서 발생했다. ORM이 JSON 칼럼을 처리할 때 데이터 형식을 변환하는
‘캐스트 타입’(Cast Type) 명령어를 아무런 검증 없이 SQL에 그대로 삽입하는 버그가 확인된 것이다.
공격자가 API 요청에 ~ 디시 검열 ~ 같은 조작된 키를 넣으면, ORM이 이를 그대로 악성 SQL 문법으로 조립한다.
대다수 기업이 외부 공격 차단을 위해 애플리케이션 앞단에 WAF를 운영하고 있다. WAF는 들어오는 HTTP 요청을 실시간으로 검사해 SQL 인젝션 패턴을 차단한다.
하지만 이번 공격은 WAF가 요청을 검사하는 시점에는 아직 SQL이 아니라는 점이 핵심이다.
악성 코드는 WAF를 통과할 때까지 평범한 JSON 문자열처럼 보이다가, 서버 내부 깊숙한 곳의 ORM이 이를
SQL로 조립하는 순간 비로소 무기로 돌변한다. WAF 입장에서는 이미 안전하다고 통과시킨 요청이 서버 안쪽에서
위험한 SQL로 바뀌는 과정을 들여다볼 방법이 없는 것이다.
특수기호(::, or 등) 자체를 WAF에서 무조건 차단하는 방법을 사용해볼 수도 있겠지만,
문제는 이 기호들이 정상적인 데이터 전송 과정에서도 얼마든지 등장한다는 점이다.
무리하게 차단할 경우 멀쩡한 사용자의 서비스 이용까지 막히는 장애로 이어지기 때문에, 결국 WAF는 이 취약점의 실질적인 방어 수단이 되기 어렵다.
디시가 문자열 막아서 지워버리네 ㅠ
와프도 쓸모가 없어졌다는거구만 이기