글 목적
근 12개월(2025.04. ~ 2026.04.) 동안에 공개된 해킹 사건을 바탕으로 ChatGPT에게 DeepResearch를 시킨 결과를 바탕으로 작성된 글입니다.
위 글을 정리하는 목적은 BSSM RedTeam Mentoring에서 Welcome CTF에 이용될 취약점 사례가 어떤 내용이었는지 기록하기 위함입니다. 혹시나 저와 비슷하게 근 12개월 동안의 취약점 사례를 바탕으로 쉬운 난이도의 CTF 문제를 만드시려는 분들에게 큰 도움이 됐으면합니다.
최근 12개월 동안의 취약점 사례 요약
근 12개월 동안 취약점 사례를 살펴보면 크게 3가지로 나타낼 수 있다고 분석되었습니다.
1. 역직렬화 및 코드 주입 공격
unsafe deserialization / eval exec 계열의 공격은 최근에도 지속에서 많이 등장하고 있는 취약점입니다. 가장 유명한 사례로는 React의 Server Side Rendering 역직렬화 과정에서 생긴 RCE 취약점인 CVE-2025-55182가 있습니다. 해당 취약점의 경우 프레임워크의 HTTP payload를 안전하지 않게 역직렬화한 알고리즘의 문제로 생긴 RCE 취약점이었습니다. React를 사용하는 기업이 대다수이며, RCE라는 Critical한 취약점이었으므로, CVSS 10.0을 부여받았습니다.