๊ฐ์ ์ํ๋์์์ ๋ํ์ ์ธ ์ทจ์ฝ์ ์ฌ๋ก๋ค์ ์์๋ณด๋ ๋ง์ง๋ง ์ฑํฐ์ ๋๋ค. ์ด๋ฒ์๋ ๋น๊ต์ ํ๊ธํจ๊ณผ๊ฐ ํฐ RCE(Remote Code Excution) ํฌ์ธํธ๋ฅผ ์์๋ณด๊ฒ ์ต๋๋ค. ๋๋ถ๋ถ์ ์คํ์์ค ํ๋ ์์ํฌ ๊ด๋ จํด์ ๋์ถ๋ ์ทจ์ฝ์ ๋ค์ ๋ด๋ถ์ ์๋ณธ ์ฝ๋๋ฅผ ํ์ธํ ์ ์๊ธฐ ๋๋ฌธ์ ์ ์ ์ธ ๋ถ์์ ํตํด ์์คํ ์ ์ง์ ์ ์ธ ์นจํด๋ฅผ ๊ฐํ ์ ์๋ ํฌ์ธํธ๋ฅผ ์ฐพ์๋ด๋ ์ผ์ด์ค๊ฐ ๋ง์ต๋๋ค. Sever Template Injection(CVE-2019โ11581) ๊ณต๊ฒฉ ํฌ์ธํธ๋ ์ฒซ๋ฒ์งธ๋ก JIRA์๋ฒ์ SMTP ๊ตฌ์ฑ์ด ๋์ด ์๊ณ "bulk email send(๋์ฉ๋ ๋ฉ์ผ ๋ณด๋ด๊ธฐ)" ๋๋ "Contact Admin"์ด ํ์ฑํ๋์ด ์์ด์ผ ํฉ๋๋ค. 4.4.0 < 7.6.14, 7.7.0 < 7.13.5 8.0.0 < 8.0.3 8.1.0..
๊ฐ์ ์ต๊ทผ ์นจํด์ฌ๊ณ ๋ํฅ(2021 OWASPํฌํจ)์ ์ ์ฌํ ๋ณด์๋ฉด ์ด๋ค ๋ฌธ์ ๋ก ๋ฏผ๊ฐํ ์ ๋ณด๊ฐ ์ ์ถ์ด ๋๋์ง ์ถ์ธกํ ์ ์์ต๋๋ค. ๋ํ์ ์ผ๋ก ์๋ํฌ์ธํธ(End-Point)์ ๋ํ ๋ณด์์ด ์ ๋๋ก ๊ฐ์ถฐ์ ธ์์ง ์์ ์ํ๋ก ์๋น์ค๊ฐ ์ ๊ณต๋์ด ๊ณต๊ฒฉ์๋ค์ด ์ด๋ฅผ ์ ์ฉํ์ฌ ํ๋ฉด์ ์ ๊ทผํ ์ ์๋ ์์ญ์ ๋ฌด๋จ์ผ๋ก ์ง์ ์ ๊ทผ ์ฌ๋ก๊ฐ ๋ค์ ๋ฐ์ํ๊ณ ์์ต๋๋ค. ์ฐ์ API ๋ "Application Programming Interface"์ ์ฝ์๋ก ์น์ดํ๋ฆฌ์ผ์ด์ ์์ ๋ฐ์ดํฐ๋ฅผ ์ฃผ๊ณ ๋ฐ๊ณ ์ด๋ฅผ ์ด๋ค ๋ฐฉ์์ผ๋ก ์์ฒญํ๊ณ ์ฒ๋ฆฌํ ์ง์ ๋ํด ๊ท๊ฒฉ์ ์ ํด๋์ ์ธํฐํ์ด์ค๋ผ๊ณ ๋ณด์๋ฉด ๋ฉ๋๋ค. ๊ทธ๋ฆฌ๊ณ API ์ ์ก์๋ 2๊ฐ์ง์ ๋ฐฉ์์ด ์กด์ฌํฉ๋๋ค.(SOAP/REST) REST๋ฐฉ์์ "JSON"๋ฐฉ์์ ํตํด ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ๊ธฐ์ SOAP๋ณด๋ค ์๋๋ฉด์์ ์ข ..