기술 설명
5월 26일에 MCP 서버 지원이 포함된 AI 채팅 애플리케이션인 Lumiverse를 위해 3가지 심각한 취약점이 발표되었으며, 모두 버전 0.9.7에서 수정되었습니다. CVE-2026-44450 (CVSS 9.9): MCP 서버 생성 엔드포인트는 command 필드를 바이너리 이름의 허용 목록에 대해 검증하지만 args 배열을 검증 없이 자식 프로세스로 전달합니다 — 인라인 코드를 허용하는 모든 허용 목록의 바이너리(예: node -e, python -c)를 사용하여 임의 코드 실행을 달성할 수 있습니다. CVE-2026-44451 (CVSS 9.3): 컴포넌트 오버라이드 시스템은 사용자 제공 TSX를 Sucrase를 통해 트랜스파일하고 얕은 전역 섀도잉만 포함된 new Function()으로 평가합니다 — __proto__ 또는 간접 eval 경로를 사용한 샌드박스 탈출이 전체 코드 실행을 달성합니다. CVE-2026-44444 (CVSS 9.1): Spindle 확장 빌드 파이프라인은 안전 검사 전에 --ignore-scripts 없이 bun install을 실행하여, 악의적인 확장의 preinstall/postinstall 훅이 모든 검사 전에 임의 코드를 실행할 수 있습니다.
공격 경로
CVE-2026-44450: 공격자가 코드 실행 인자가 있는 허용 목록의 바이너리(node, python)를 지정하여 MCP 서버를 생성합니다 — 추가 권한이 필요하지 않습니다. CVE-2026-44451: 공격자가 악의적인 TSX를 컴포넌트 오버라이드로 제공합니다 — 프로토타입 오염 또는 간접 eval을 통한 샌드박스 탈출입니다. CVE-2026-44444: 공격자가 npm 라이프사이클 스크립트가 있는 악의적인 확장 패키지를 제공합니다 — 안전 검사가 실행되기 전에 실행됩니다.
영향받는 시스템
0.9.7 이전의 Lumiverse 버전입니다. Lumiverse의 MCP 서버 생성 또는 확장/컴포넌트 오버라이드 기능을 사용하는 AI 채팅 애플리케이션입니다.
완화 방안
즉시 Lumiverse 0.9.7로 업그레이드하십시오. Lumiverse를 넘어 적용 가능한 심층 방어 패턴으로: (1) MCP 하위 프로세스 호출에 대해 command와 args 모두를 검증하고 허용 목록으로 지정하십시오 — 바이너리 전용 허용 목록은 불충분합니다. (2) AI 확장 파이프라인의 모든 종속성 설치에 --ignore-scripts를 사용하십시오. (3) 샌드박스에서 트랜스파일된 경우에도 사용자 제공 컴포넌트 코드를 신뢰할 수 없는 것으로 취급하십시오.