// 취약점 스포트라이트
FixVibe가 실행하는 모든 검사,
설명해드려요.
FixVibe에 포함된 164+ 취약점 분류. 각 항목은 스캔당 최대 35개의 하위 검사를 실행하며, 버그가 어떻게 동작하는지, 공격자가 무엇을 얻을 수 있는지, 어떻게 테스트하는지, 방어에 무엇이 필요한지 알려드려요.
01 / 07
HTTP 및 표면
세션 쿠키 속성
HttpOnly, Secure, SameSite — 세션 쿠키를 공격자가 쉽게 훔칠 수 없게 만드는 세 가지 플래그예요.
스포트라이트 읽기 →
HTTP 보안 헤더
헤더는 공짜 방어책이에요 — 그런데도 대부분의 앱이 여전히 빼먹고 배포해요.
스포트라이트 읽기 →
TLS 설정
오래된 암호화 스위트에 HSTS 누락까지 더해지면, 적대적인 와이파이 한 번에 세션이 탈취돼요.
스포트라이트 읽기 →
Vercel Deployment Protection
Generated deployment URLs should not become public staging doors.
스포트라이트 읽기 →
02 / 07
시크릿
하드코딩된 시크릿 패턴
Stripe 키, AWS 자격증명, OpenAI 토큰 — 패턴 매칭이 쉬운 실수를 잡아내요.
스포트라이트 읽기 →
JavaScript 번들 속 시크릿
클라이언트 번들에 포함됐다면 그건 시크릿이 아니라 공개 게시물이에요.
스포트라이트 읽기 →
JWT 무결성 (alg 혼동, 약한 시크릿)
JWT 검증기가 토큰 자체의 헤더를 신뢰하면, 공격자가 적은 무엇이든 믿어버려요.
스포트라이트 읽기 →
브라우저 스토리지의 토큰
localStorage는 JavaScript에서 읽을 수 있어요. 거기 저장된 인증 토큰은 설계상 XSS로 탈취 가능해요.
스포트라이트 읽기 →
노출된 소스맵
.map 파일이 공개돼 있다면, 공격자가 여러분의 TypeScript를 읽고 있어요.
스포트라이트 읽기 →
JavaScript의 정보 유출
내부 API 호스트, 버전 배너, TODO 주석 — 작은 유출이 모이면 스택 지도가 돼요.
스포트라이트 읽기 →
03 / 07
Backend-as-a-Service
Firebase 보안 규칙
`allow read, write: if true`는 지금 이 순간 누군가의 프로덕션 데이터베이스예요.
스포트라이트 읽기 →
Supabase Row-Level Security
공개 테이블에 RLS가 없다면, anon 키는 무엇이든 읽을 수 있는 자유 이용권이에요.
스포트라이트 읽기 →
Clerk 및 Auth0 설정
ID 공급자는 기본값을 조이지 않으면 생각보다 많이 새요.
스포트라이트 읽기 →
Supabase Storage and API Posture
Public buckets and anon-listable objects are where BaaS data leaks start.
스포트라이트 읽기 →
04 / 07
DNS
05 / 07
디스커버리
Arcserve UDP Heap Overflow Advisory
Backup management consoles should not expose affected UDP versions.
스포트라이트 읽기 →
Schneider Modicon M221 Firmware Advisory
PLC firmware evidence should drive patch and segmentation review, not reboot or authentication replay tests.
스포트라이트 읽기 →
CVE 교차 참조
탐지된 버전 + 공개 CVE 데이터베이스 = 이미 문서화된 공격 목록이에요.
스포트라이트 읽기 →
디버그 및 관리자 엔드포인트
/debug, /admin, /server-status — 인터넷에서 절대 닿을 수 없어야 하는 경로들이에요.
스포트라이트 읽기 →
노출된 파일 및 백업 디렉터리
.env, .git, .DS_Store, backup.sql — 절대 공개되면 안 되는 파일들이 실수로 공개돼요.
스포트라이트 읽기 →
Rockwell MicroLogix 1100 DoS Advisory
An exposed PLC fingerprint is an operations risk, not something to crash-test.
스포트라이트 읽기 →
SPIP Template RCE Version Exposure
Public SPIP version banners can reveal an RCE-class patch gap.
스포트라이트 읽기 →
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Checking Apache ActiveMQ Artemis for CVE-2023-50780
스포트라이트 읽기 →
Checking Apache Airflow for CVE-2024-45498
Checking Apache Airflow for CVE-2024-45498
스포트라이트 읽기 →
Checking Apache Tomcat for CVE-2020-11996
Checking Apache Tomcat for CVE-2020-11996
스포트라이트 읽기 →
Checking Claude Code GitHub Action workflow permissions
Checking Claude Code GitHub Action workflow permissions
스포트라이트 읽기 →
Checking codexui-android for token-stealing package versions
Checking codexui-android for token-stealing package versions
스포트라이트 읽기 →
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Checking cordova-plugin-inappbrowser for CVE-2019-0219
스포트라이트 읽기 →
Checking DICOM files for executable preambles
Checking DICOM files for executable preambles
스포트라이트 읽기 →
Checking Django for CVE-2011-0696
Checking Django for CVE-2011-0696
스포트라이트 읽기 →
Checking Drupal Core for CVE-2026-9082
Checking Drupal Core for CVE-2026-9082
스포트라이트 읽기 →
Checking easy-day-js for Mastra npm incident package evidence
Checking easy-day-js for Mastra npm incident package evidence
스포트라이트 읽기 →
Checking Keras for CVE-2025-1550
Checking Keras for CVE-2025-1550
스포트라이트 읽기 →
Checking Langflow CORS exposure for CVE-2025-34291
Checking Langflow CORS exposure for CVE-2025-34291
스포트라이트 읽기 →
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
스포트라이트 읽기 →
Checking MindsDB version exposure for CVE-2026-27483
Checking MindsDB version exposure for CVE-2026-27483
스포트라이트 읽기 →
Checking MISP STIX import source for CVE-2018-19908
Checking MISP STIX import source for CVE-2018-19908
스포트라이트 읽기 →
Checking Moby/Docker Go modules for CVE-2026-34040
Checking Moby/Docker Go modules for CVE-2026-34040
스포트라이트 읽기 →
Checking NGINX rewrite configurations for CVE-2026-42945
Checking NGINX rewrite configurations for CVE-2026-42945
스포트라이트 읽기 →
Checking NiceGUI upload source for CVE-2026-25732
Checking NiceGUI upload source for CVE-2026-25732
스포트라이트 읽기 →
Checking Nokogiri for CVE-2019-18197
Checking Nokogiri for CVE-2019-18197
스포트라이트 읽기 →
Checking npm lockfiles for known typosquat package versions
Checking npm lockfiles for known typosquat package versions
스포트라이트 읽기 →
Checking ONNX for CVE-2024-5187
Checking ONNX for CVE-2024-5187
스포트라이트 읽기 →
Checking Paramiko for CVE-2018-7750
Checking Paramiko for CVE-2018-7750
스포트라이트 읽기 →
Checking proxy npm package for CVE-2023-2968
Checking proxy npm package for CVE-2023-2968
스포트라이트 읽기 →
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
스포트라이트 읽기 →
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
스포트라이트 읽기 →
Checking vLLM for CVE-2024-9053
Checking vLLM for CVE-2024-9053
스포트라이트 읽기 →
Checking WordPress REST API user exposure
Checking WordPress REST API user exposure
스포트라이트 읽기 →
Checking YOURLS for CVE-2019-14537
Checking YOURLS for CVE-2019-14537
스포트라이트 읽기 →
Cloudflare 오리진 및 프록시 자세
오리진 IP가 발견 가능하다면 Cloudflare WAF는 우회 가능해요.
스포트라이트 읽기 →
GraphQL 인트로스펙션 노출
프로덕션의 인트로스펙션은 공격자에게 전체 타입 시스템을 그대로 넘겨주는 거예요.
스포트라이트 읽기 →
위협 인텔 교차 참조
Spamhaus DBL, URLhaus — 외부에서 본 여러분 도메인의 평판이에요.
스포트라이트 읽기 →
노출된 API 문서
/swagger.json, /openapi.json, /docs — 여러분과 공격자 모두에게 공개된 API 지도예요.
스포트라이트 읽기 →
Netlify 특화 노출
Netlify 배포 미리보기 URL, x-nf-* 헤더, _redirects 실수예요.
스포트라이트 읽기 →
프라이버시 및 쿠키 규정 준수 표시
GDPR이 요구하는 페이지들 — 존재하고 링크돼 있어야지, 아니면 신고당할 위험이 있어요.
스포트라이트 읽기 →
기술 스택 핑거프린팅
스택을 아는 건 정찰의 절반이에요 — 오래된 프레임워크면 나머지 절반까지 채워져요.
스포트라이트 읽기 →
Vercel 특화 노출
_next/static, x-vercel-* 헤더, 미리보기 URL — Vercel만의 흔적이 생각보다 많이 새요.
스포트라이트 읽기 →
06 / 07
능동 프로브
AVideo Command Injection Advisory
An outdated AVideo Composer dependency can expose video-link import paths to command execution risk.
스포트라이트 읽기 →
교차 테넌트 데이터 유출
테넌트 ID를 강제하지 않는 멀티테넌트 SaaS는 조직 간에 고객 데이터가 새요.
스포트라이트 읽기 →
GeniXCMS Author SQL Injection Exposure
A legacy CMS author filter should not turn one parameter into SQL syntax.
스포트라이트 읽기 →
JWT alg=none Acceptance
A decoded token is not an authenticated identity.
스포트라이트 읽기 →
MagicMirror /cors SSRF Exposure
A smart-mirror helper endpoint should not become a network proxy.
스포트라이트 읽기 →
Moxa NPort Firmware Advisory
A public device-server firmware banner should drive an upgrade, not a crash test.
스포트라이트 읽기 →
OS 커맨드 인젝션
사용자 입력이 셸 명령의 일부가 되는 순간, 셸은 공격자가 쓰는 무엇이든 실행해요.
스포트라이트 읽기 →
rclone RC Authentication Exposure
A public rclone Remote Control API should not answer unauthenticated fsinfo requests.
스포트라이트 읽기 →
서버 측 템플릿 인젝션 (SSTI)
템플릿 엔진이 사용자 입력을 템플릿으로 처리하면, 서버는 사용자 입력을 코드로 처리해요.
스포트라이트 읽기 →
SiteOmat BOS Authentication Advisory
Fuel-station management software needs version and exposure review, not password guessing.
스포트라이트 읽기 →
SiteOmat CGI Buffer Overflow Advisory
Fuel-station controller CGI risk needs patch and exposure review, not exploit probes.
스포트라이트 읽기 →
SiteOmat Login SQL Injection Advisory
Fuel-station login risk needs patch and exposure review, not authentication-bypass probes.
스포트라이트 읽기 →
SQL 인젝션
사용자 입력이 쿼리의 일부가 되는 순간, 데이터베이스는 더 이상 여러분의 것이 아니에요.
스포트라이트 읽기 →
인증 흐름 결함
로그인, 회원가입, 비밀번호 재설정 — 실제 계정 탈취는 대부분 여기서 일어나요.
스포트라이트 읽기 →
블라인드 SSRF (대역 외)
서버가 사용자가 제공한 URL을 가져온다면, 사용자가 내부 서비스를 가져오게 만들 수 있어요.
스포트라이트 읽기 →
CKAN DataStore SQL Authorization Bypass
Public DataStore SQL access can turn open data APIs into private data exposure.
스포트라이트 읽기 →
CORS 잘못된 설정
관대한 Access-Control-Allow-Origin에 자격증명까지 더해지면, 여러분의 API는 모두의 API가 돼요.
스포트라이트 읽기 →
URL 프래그먼트 기반 DOM XSS
현대 SPA들은 location.hash를 읽어 DOM에 써넣는데, 공격자 페이로드도 같이 들어가요.
스포트라이트 읽기 →
파일 업로드 검증
사용자가 업로드한 파일은 임의의 바이트예요 — 검증 없이 '이미지'로 받아들이는 건 RCE를 부르는 길이에요.
스포트라이트 읽기 →
FUXA Hardcoded JWT Fallback Secret
Default token-signing secrets can turn an HMI login into a weak boundary.
스포트라이트 읽기 →
GL.iNet GL-MT3000 Firmware Advisory
A router firmware match should drive an upgrade, not a command-execution test.
스포트라이트 읽기 →
GraphQL 깊이 폭탄 및 배치 우회
GraphQL의 유연함은 곧 취약함이에요 — 깊이 폭탄, alias 배칭, 필드 제안 유출까지요.
스포트라이트 읽기 →
HTTP 리퀘스트 스머글링
프런트 프록시와 백엔드가 한 요청의 끝을 다르게 해석하면, 공격자가 그 틈을 타요.
스포트라이트 읽기 →
IDOR / BOLA
API가 클라이언트가 보내는 ID를 그대로 신뢰하면, 클라이언트는 어떤 ID든 보낼 수 있어요.
스포트라이트 읽기 →
IIS TRACK Method Information Disclosure
Legacy HTTP method echo behavior should be disabled before it can expose request headers.
스포트라이트 읽기 →
Liferay Portal Template RCE Advisory
Legacy Liferay Portal version evidence should trigger patch verification.
스포트라이트 읽기 →
LLM 프롬프트 인젝션
AI 기능이 사용자 입력을 명령으로 신뢰하면, 사용자가 시스템 프롬프트를 다시 쓸 수 있어요.
스포트라이트 읽기 →
NoSQL 연산자 인젝션
사용자 제어 JSON에 들어간 MongoDB 스타일 연산자가 쿼리를 와일드카드로 바꿔요.
스포트라이트 읽기 →
반사형 크로스사이트 스크립팅 (XSS)
조용한 탈취: 검증되지 않은 매개변수 하나가 사용자 브라우저에서 공격자 코드를 실행해요.
스포트라이트 읽기 →
Rockwell MicroLogix 1100 Authentication Advisory
Firmware evidence should drive an update and exposure review, not password-guessing tests.
스포트라이트 읽기 →
XML 외부 엔티티 (XXE)
XML 파서가 외부 엔티티를 해석하면, 서버가 공격자를 위해 파일을 읽어줘요.
스포트라이트 읽기 →
ZoneMinder Directory Listing Exposure
A camera management UI should not publish its web root index.
스포트라이트 읽기 →
계정 열거
이메일 존재 여부에 따라 로그인 응답이 달라지면, 공격자가 고객 명단을 만들 수 있어요.
스포트라이트 읽기 →
Checking gemini-mcp-tool for CVE-2026-0755
Checking gemini-mcp-tool for CVE-2026-0755
스포트라이트 읽기 →
Checking Label Studio upload-example XSS exposure
Checking Label Studio upload-example XSS exposure
스포트라이트 읽기 →
Checking Langflow version exposure for CVE-2026-33017
Checking Langflow version exposure for CVE-2026-33017
스포트라이트 읽기 →
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
스포트라이트 읽기 →
Checking TLS endpoints for RC4 support
Checking TLS endpoints for RC4 support
스포트라이트 읽기 →
Checking TLS endpoints for Sweet32 DES/3DES support
Checking TLS endpoints for Sweet32 DES/3DES support
스포트라이트 읽기 →
Confirming Glances REST API unauthenticated exposure
Confirming Glances REST API unauthenticated exposure
스포트라이트 읽기 →
Confirming Next.js middleware bypass exposure
Confirming Next.js middleware bypass exposure
스포트라이트 읽기 →
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Confirming SillyTavern SearXNG external-fetch SSRF exposure
스포트라이트 읽기 →
Confirming TMT Lockcell login SQL injection exposure
Confirming TMT Lockcell login SQL injection exposure
스포트라이트 읽기 →
CRLF / 응답 분할
사용자 입력이 응답 헤더에 들어가면, 줄바꿈을 통해 공격자가 자기 헤더를 쓸 수 있어요.
스포트라이트 읽기 →
CSRF 보호
상태를 바꾸는 엔드포인트가 CSRF 토큰을 요구하지 않으면, 외부 사이트가 사용자처럼 행동할 수 있어요.
스포트라이트 읽기 →
Rate Limit 부재
인증 엔드포인트에 rate limit이 없으면, 공격자가 회선 속도로 자격증명 스터핑을 할 수 있어요.
스포트라이트 읽기 →
Next.js Header Configuration Drift
Headers set on `/` do not always protect nested routes.
스포트라이트 읽기 →
오픈 리디렉트
도착지를 검증하지 않는 /redirect?url=…은 그대로 피싱 키트가 돼요.
스포트라이트 읽기 →
SPIP valider_xml XSS Exposure
A legacy SPIP utility page should not reflect URL input into HTML.
스포트라이트 읽기 →
07 / 07
소스 코드
deephas Prototype-Pollution Advisory
A vulnerable deephas dependency can put deep-path object handling on a prototype-pollution path.
스포트라이트 읽기 →
Ghost Content API SQL Injection Advisory
A vulnerable Ghost dependency can put public content APIs on the database boundary.
스포트라이트 읽기 →
LibreNMS Command Injection Advisory
A vulnerable monitoring stack can become an execution path inside the network.
스포트라이트 읽기 →
LiteLLM SQL Injection Advisory
A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.
스포트라이트 읽기 →
NLTK Zip Slip Code Execution Advisory
A vulnerable NLTK downloader can turn compromised package archives into filesystem writes and code-execution risk.
스포트라이트 읽기 →
openDCIM Command Injection Source Advisory
A database-controlled Graphviz path should not become a shell command.
스포트라이트 읽기 →
TanStack ArkType Adapter Malware Advisory
Known malicious npm package versions can put CI and developer secrets at install-time risk.
스포트라이트 읽기 →
vm2 Sandbox Breakout Advisory
A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.
스포트라이트 읽기 →
Apache Tomcat Coyote Resource-Shutdown Advisory
An affected Tomcat HTTP/2 runtime can turn reset behavior into resource exhaustion.
스포트라이트 읽기 →
Apache Tomcat EncryptInterceptor Advisory
Exact affected Tomcat releases need an upgrade before cluster encryption assumptions are trusted.
스포트라이트 읽기 →
Apache Tomcat h2c Request Mix-Up Advisory
Affected Tomcat h2c handling can put request data on the wrong response path.
스포트라이트 읽기 →
Apache Tomcat Session-Persistence Advisory
Affected Tomcat runtimes become riskier when FileStore session persistence is enabled.
스포트라이트 읽기 →
Committed AI-Generated Secrets
AI snippets should not ship provider keys into git.
스포트라이트 읽기 →
Compromised codfish GitHub Action
Release workflows should not keep pointing at compromised Action refs.
스포트라이트 읽기 →
electerm Install-Script Command Injection Advisory
A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.
스포트라이트 읽기 →
electerm Unauthorized Command Execution Advisory
A stale electerm package can matter when the vulnerable service is packaged and running.
스포트라이트 읽기 →
Gogs Directory Traversal Dependency Advisory
An affected Gogs runtime can put file-upload path handling on a traversal boundary.
스포트라이트 읽기 →
Gradio Windows Python Path Traversal Advisory
A vulnerable Gradio dependency becomes a stronger signal when repo config points to Windows with Python 3.13+.
스포트라이트 읽기 →
Mbed TLS Buffer-Overflow Advisory
Affected Mbed TLS 3.x source evidence deserves an upgrade, not exploit reproduction.
스포트라이트 읽기 →
Mbed TLS Double-Free Advisory
Legacy Mbed TLS version evidence deserves branch-aware remediation.
스포트라이트 읽기 →
Microsoft ATL MS09-035 Source Advisory
Legacy ATL build metadata deserves rebuild proof, not exploit reproduction.
스포트라이트 읽기 →
OpenCms XXE Information-Disclosure Advisory
A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.
스포트라이트 읽기 →
OpenSSL CMS Message-Parsing Advisory
Affected OpenSSL branch evidence deserves a branch-aware runtime upgrade.
스포트라이트 읽기 →
PDF.js JavaScript Execution Advisory
A vulnerable PDF viewer can turn a malicious document into script execution.
스포트라이트 읽기 →
PickleScan ZIP CRC Bypass Advisory
A vulnerable PickleScan dependency can miss malicious model archives when scans fail open.
스포트라이트 읽기 →
pyLoad /flashgot RCE Advisory
A vulnerable pyLoad dependency is patch-triage evidence, not proof of live RCE.
스포트라이트 읽기 →
위험한 소스 코드 패턴
eval(), dangerouslySetInnerHTML, 하드코딩된 시크릿 — SAST가 25년 동안 잡아온 패턴들이에요.
스포트라이트 읽기 →
SaltStack Salt Directory Traversal Advisory
A vulnerable Salt package can weaken Salt master authentication boundaries.
스포트라이트 읽기 →
SAP Cloud SDK for AI Python Advisory
A vulnerable SAP Python SDK dependency is patch-triage evidence, not proof of live command execution.
스포트라이트 읽기 →
Spring Data Commons Resource-Exhaustion Advisory
Affected Spring Data Commons dependencies can put property-path parsing on a DoS path.
스포트라이트 읽기 →
Supabase RLS in Migrations
A public table without RLS is a future data leak.
스포트라이트 읽기 →
veraPDF XSLT Injection Dependency Advisory
Affected veraPDF policy-file processing can put XSLT execution boundaries at risk.
스포트라이트 읽기 →
취약한 의존성
package-lock.json에 수천 개의 패키지가 있어요. 그중 일부는 알려진 CVE를 갖고 있어요.
스포트라이트 읽기 →
웹훅 서명 검증
웹훅 핸들러가 서명을 검증하지 않는다면, 누구든 이벤트를 위조할 수 있어요.
스포트라이트 읽기 →
ws Excessive-Header DoS Advisory
Affected ws server runtimes can crash when upgrade requests carry too many headers.
스포트라이트 읽기 →
AI-Generated Code Guardrails
Fast AI-assisted changes need repo-level security rails.
스포트라이트 읽기 →
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
스포트라이트 읽기 →
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Checking Apache ActiveMQ Artemis for CVE-2026-27446
스포트라이트 읽기 →
Checking Apache Spark for CVE-2022-33891
Checking Apache Spark for CVE-2022-33891
스포트라이트 읽기 →
Checking Cargo files for the malicious onering crate
Checking Cargo files for the malicious onering crate
스포트라이트 읽기 →
Checking http4k-format-xml for CVE-2024-55875
Checking http4k-format-xml for CVE-2024-55875
스포트라이트 읽기 →
Checking kill-port-process for CVE-2019-15609
Checking kill-port-process for CVE-2019-15609
스포트라이트 읽기 →
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
스포트라이트 읽기 →
Checking Note Mark backend for CVE-2026-44522
Checking Note Mark backend for CVE-2026-44522
스포트라이트 읽기 →
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Checking npm package versions and binding.gyp for the Phantom Gyp worm
스포트라이트 읽기 →
Checking OpenSSL PowerPC builds for CVE-2023-6129
Checking OpenSSL PowerPC builds for CVE-2023-6129
스포트라이트 읽기 →
Checking Perl GD for CVE-2026-11526
Checking Perl GD for CVE-2026-11526
스포트라이트 읽기 →
Checking Red Hat npm package versions for the worm campaign
Checking Red Hat npm package versions for the worm campaign
스포트라이트 읽기 →
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Checking WebdriverIO BrowserStack service for CVE-2026-25244
스포트라이트 읽기 →
Kubernetes Service ExternalIPs Advisory
ExternalIPs in Service manifests deserve RBAC and admission-policy review.
스포트라이트 읽기 →
Mbed TLS Certificate-Validation Advisory
Affected Mbed TLS 3.x evidence deserves upgrade and client-auth review.
스포트라이트 읽기 →
OpenSSL TLSv1.3 Session Memory-Growth Advisory
A vulnerable OpenSSL runtime plus no-ticket TLSv1.3 session handling can create DoS risk.
스포트라이트 읽기 →
Oracle Java SE / GraalVM Runtime Advisory
Affected Oracle runtime metadata deserves an update, not DoS reproduction.
스포트라이트 읽기 →
리포 보안 위생
브랜치 보호, 액션 핀 고정, 시크릿 위생 — 리포를 어떻게 운영하는지가 코드보다 더 중요할 때가 있어요.
스포트라이트 읽기 →
Reviewing repo code against web app risk patterns
Reviewing repo code against web app risk patterns
스포트라이트 읽기 →
