## Node.js CVE-2026-21710: HTTP 요청 처리 오류로 인한 프로토타입 오염 및 서비스 중단 위험
Node.js의 HTTP 요청 처리 로직에 심각한 결함이 발견되어, 특정 조건에서 서비스 중단을 유발할 수 있는 새로운 취약점(CVE-2026-21710)이 공개되었다. 이 취약점은 헤더 이름 `__proto__`를 객체 프로토타입 속성으로 오인하여 프로토타입 오염을 일으키며, 이로 인해 `req.headersDistinct`에 접근할 때 `Object.prototype`에 `.push()` 메서드를 호출하려다 `TypeError`를 발생시킨다. 핵심 위험은 이 예외가 동기적으로 발생하며, 표준 `error` 이벤트 리스너로도 잡히지 않아 애플리케이션이 예기치 않게 충돌할 수 있다는 점이다.

이 취약점의 영향은 광범위하다. 보고서에 따르면 Node.js 버전 20.20.1, 22.22.1, 24.14.0, 25.8.1 및 버전 4부터 19까지의 모든 주요 릴리스가 영향을 받는다. 공식 CVSS 점수는 7.5(높음)로 평가되었으나, 현재까지는 알려진 익스플로잇(KEV)이 없으며 예측된 익스플로잇 확률(EPSS)도 0.00%로 나타났다. 이는 악용 가능성은 아직 낮지만, 취약점 자체의 기술적 심각성은 분명함을 의미한다.

이 결함은 Node.js를 백엔드 서버로 사용하는 수많은 웹 애플리케이션과 마이크로서비스에 직접적인 서비스 안정성 위험을 제기한다. 공격자가 악의적인 HTTP 요청을 구성해 지속적으로 서버를 충돌시킬 경우, 서비스 가용성에 영향을 미칠 수 있다. 개발팀은 공식 패치가 출시되기 전까지는 잠재적인 악성 트래픽에 대한 모니터링을 강화하고, 영향을 받는 버전을 사용 중인 경우 업데이트 계획을 수립해야 할 압박에 직면해 있다.
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Node.js, CVE-2026-21710, 보안 취약점, 프로토타입 오염, 서비스 거부
- **Credibility**: unverified
- **Published**: 2026-03-30 20:27:32
- **ID**: 41808
- **URL**: https://whisperx.ai/en/intel/41808