Vercel Flags SDK에서 기본 플래그 디스커버리 엔드포인트(`/.well-known/vercel/flags`)를 통해 플래그 메타데이터가 인증 없이 노출되는 취약점이 발견됐다. 영향 버전은 flags 3.2.0 이하, @vercel/flags 3.1.1 이하이며, flags@4.0.0으로 업그레이드하면 해결된다.
핵심 포인트- 영향 버전: flags 3.2.0 이하, @vercel/flags 3.1.1 이하이다.
- 기본 엔드포인트 `/.well-known/vercel/flags`가 인증 없이 플래그 이름, 설명, 옵션, 기본값을 노출했다.
- 플래그 프로바이더 자체나 추가 고객 데이터에는 접근 불가였으며 쓰기 권한도 없다.
- 수정 방법: flags@4.0.0으로 업그레이드하거나 커스텀 플래그 엔드포인트를 WAF 규칙으로 제한한다.
- Vercel이 네트워크 레벨 자동 완화 조치를 기본 배포에 적용했다.
상세 정리- 취약점 범위: flags@3.2.0 이하, @vercel/flags@3.1.1 이하 버전 SDK를 사용하는 애플리케이션이 영향을 받는다.
- 공격 벡터: 기본 플래그 디스커버리 엔드포인트 `/.well-known/vercel/flags`에 인증 없이 접근할 수 있다.
- 노출 데이터: 플래그 이름, 플래그 설명, 사용 가능한 옵션 및 라벨(true/false 등), 기본값이 노출된다.
- 노출되지 않는 데이터: 플래그 프로바이더 자체, 추가 고객 데이터, 쓰기 권한은 포함되지 않는다.
- 위험 수준: 공격자가 피처 플래그 구성을 파악해 내부 기능 상태나 A/B 테스트 구조를 추론할 수 있다.
- 자동 완화: Vercel이 기본 배포를 보호하는 네트워크 레벨 자동 완화 조치를 배포했다.
- 수정 방법: flags@4.0.0으로 업그레이드하거나 @vercel/flags에서 마이그레이션한다. 커스텀 플래그 디스커버리 엔드포인트를 사용하는 경우 WAF 규칙으로 접근을 제한한다.
- 패치 확인: Flags Explorer가 패치되지 않은 버전을 사용하는 시스템에 경고를 표시한다.
왜 읽나Vercel Flags SDK를 사용하는 프론트엔드·풀스택 개발자가 영향받는 버전을 확인하고 즉시 업그레이드 조치를 취할 수 있도록 핵심 정보를 제공한다.