무슨 일이 있었나
2026-06-23에 Foreman MCP 서버에 대해 발표된 두 가지 CVE: CVE-2026-12112 (CVSS 7.8)는 서버가 인증된 연결을 캐시하고 재검증 없이 비밀이 아닌 세션 ID를 신뢰하는 세션 관리 결함으로, 인증되지 않은 공격자가 관리자 세션을 하이재킹할 수 있도록 합니다. CVE-2026-9073 (CVSS 6.2)은 각각 INFO 및 DEBUG 레벨에서 세션 식별자 및 전체 인증 데이터를 노출하는 두 가지 로깅 메커니즘을 문서화합니다.
왜 중요한가
Foreman은 서버 및 인프라의 완전한 라이프사이클을 관리합니다. 세션 하이재킹 및 자격증명 로깅 결함이 있는 Foreman을 래핑하는 MCP 서버는 Foreman MCP에 연결하는 AI 에이전트가 관리 세션을 누출하도록 조작되거나 자신의 세션이 도용될 수 있음을 의미하며, AI 오케스트레이션 계층을 통해 전체 관리 인프라를 손상시킬 수 있습니다.
공격 경로
(CVE-2026-12112) 인증되지 않은 공격자가 비밀이 아닌 세션 ID를 제공하며, 서버는 인증된 클라이언트 연결을 부적절하게 캐시하고 재검증 없이 재사용하여 활성 관리 세션의 세션 하이재킹을 허용합니다. (CVE-2026-9073) 세션 식별자 (인증 자격증명으로 취급)는 INFO 레벨에서 로깅되며, 디버그 로깅은 또한 로그에서 전체 인증 데이터를 노출합니다.
영향받는 시스템
foreman-mcp-server (RHSA-2026:28438 패치 이전의 모든 버전)
완화 방안
Red Hat 정오 RHSA-2026:28438을 적용합니다. 권고: https://access.redhat.com/errata/RHSA-2026:28438