격리된 환경의 핵심 보호 메커니즘이 사소한 로직 결함으로도 무너질 수 있다는 것 보여줘

[보안뉴스 김형근 기자] 자바스크립트 라이브러리인 ‘샌드박스JS(SandboxJS)’에서 호스트 시스템을 장악할 수 있는 심각한 샌드박스 탈옥 취약점이 발견됐다.


이번 결함은 CVE-2026-25881로 추적되며, CVSS 점수 8.3점의 중대한 위험도를 기록해 업계의 이목을 집중시키고 있다.

해당 취약점은 라이브러리가 호스트 객체 수정을 막기 위해 사용하는 ‘isGlobal’ 플래그의 허점을 파고든다. 시스템 전체가 공통으로 사용하는 기본 설정값을 배열에 넣었다 꺼낼 때, 보안용 보호 장치가 해제돼 버리는 설계 결함이 핵심이다.

공격자는 이 과정을 통해 프로토타입 오염(Prototype Pollution)을 일으켜 핵심 자바스크립트 객체를 영구적으로 변조할 수 있다. 예를 들어, 공격자가 Map.prototype에 악성 명령을 주입하면 호스트 전체 애플리케이션에 그 영향이 퍼지게 된다.

k14uz이라는 이름의 보안 연구원은 시스템 명령어를 실행하거나 내장 함수를 덮어쓰는 세 가지 공격 시나리오의 개념증명(PoC)을 공개했다. 이 개념증명에 따르면 호스트 코드가 오염된 프로토타입 속성을 사용하는 순간, 공격자는 원격코드실행(RCE)을 통해 시스템의 대부분의 권한을 장악하게 되는 심각한 상황에 직면하게 된다.

이 취약점은 0.8.30 이전의 모든 버전에 영향을 미치며, 신뢰할 수 없는 코드를 실행하는 모든 앱이 심각하게 노출돼 있는 상태다.

개발사 측은 배열 연산 시에도 보호 플래그를 유지하도록 개선된 0.8.31 패치 버전을 즉시 업데이트할 것을 권고했다.

이번 샌드박스JS 취약점은 격리된 환경의 핵심 보호 메커니즘이 사소한 로직 결함으로도 완전히 무너질 수 있음을 보여준 사례다. 프로토타입 오염을 통한 샌드박스 탈출은 호스트 시스템 전체의 무결성을 심각하게 훼손할 수 있다는 점에서 개발자들에게 정밀한 코드 감사와 신속한 패치의 필요성을 일깨워주고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>