기술 설명
MCP 서버 지원이 있는 AI 채팅 애플리케이션인 Lumiverse에 대해 5월 26일에 3개의 중대 취약점이 공개되었으며, 모두 버전 0.9.7에서 수정되었다. CVE-2026-44450 (CVSS 9.9): MCP 서버 생성 엔드포인트는 command 필드를 바이너리 이름의 허용 목록에 대해 검증하지만 args 배열을 검증 없이 자식 프로세스로 전달한다 — 인라인 코드를 허용하는 모든 허용 목록 바이너리(예: node -e, python -c)를 사용하여 임의 코드 실행을 달성할 수 있다. CVE-2026-44451 (CVSS 9.3): 구성 요소 재정의 시스템은 Sucrase를 통해 사용자 제공 TSX를 전치하고 얕은 전역 섀도잉만으로 new Function()을 사용하여 평가한다 — __proto__ 또는 간접 eval 경로를 사용한 샌드박스 탈출은 전체 코드 실행을 달성한다. CVE-2026-44444 (CVSS 9.1): Spindle 확장 빌드 파이프라인은 안전 스캔 전에 --ignore-scripts 없이 bun install을 실행하여, 악의적인 확장의 preinstall/postinstall 후크가 스캔 전에 임의 코드를 실행하도록 허용한다.
공격 경로
CVE-2026-44450: 공격자가 코드 실행 arg를 지정한 허용 목록 바이너리(node, python)를 사용하여 MCP 서버를 생성한다 — 추가 권한이 필요하지 않다. CVE-2026-44451: 공격자가 악의적인 TSX를 구성 요소 재정의로 제공한다 — 프로토타입 오염 또는 간접 eval을 통한 샌드박스 탈출. CVE-2026-44444: 공격자가 npm 라이프사이클 스크립트를 포함한 악의적인 확장 패키지를 제공한다 — 안전 스캔이 실행되기 전에 실행된다.
영향받는 시스템
0.9.7 이전의 Lumiverse 버전. Lumiverse의 MCP 서버 생성 또는 확장/구성 요소 재정의 기능을 사용하는 AI 채팅 애플리케이션.
완화 방안
즉시 Lumiverse 0.9.7로 업그레이드하십시오. Lumiverse를 넘어 적용할 수 있는 방어 심화 패턴: (1) MCP 부프로세스 호출에 대해 command와 args 모두를 검증 및 허용 목록으로 작성한다 — 바이너리 전용 허용 목록은 불충분하다; (2) AI 확장 파이프라인의 모든 의존성 설치에 --ignore-scripts를 사용한다; (3) 샌드박스에서 전치된 경우에도 사용자 제공 구성 요소 코드를 신뢰할 수 없는 것으로 취급한다.