[Autofic] Security Patch 2025-07-15

[seoonju]

🔏 Security Patch Summary

🗂️ 1. contributions.js

🔎 SAST Analysis Summary

1-1. [Vulnerability] Code Injection

• #️⃣ Line: 32
• 🛡️ Severity: ERROR
• 🔖 CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
• 🔗 Reference: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval
• 🔗 Reference: https://nodejs.org/api/child_process.html#child_processexeccommand-options-callback
• 🔗 Reference: https://www.stackhawk.com/blog/nodejs-command-injection-examples-and-prevention/
• 🔗 Reference: https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_server_side_js_injection.html
• ✍️ Message: Found data from an Express or Next web request flowing to eval. If this data is user-controllable this can lead to execution of arbitrary system commands in the context of your application process. Avoid eval whenever possible.

1-2. [Vulnerability] Code Injection

• #️⃣ Line: 33
• 🛡️ Severity: ERROR
• 🔖 CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
• 🔗 Reference: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval
• 🔗 Reference: https://nodejs.org/api/child_process.html#child_processexeccommand-options-callback
• 🔗 Reference: https://www.stackhawk.com/blog/nodejs-command-injection-examples-and-prevention/
• 🔗 Reference: https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_server_side_js_injection.html
• ✍️ Message: Found data from an Express or Next web request flowing to eval. If this data is user-controllable this can lead to execution of arbitrary system commands in the context of your application process. Avoid eval whenever possible.

1-3. [Vulnerability] Code Injection

• #️⃣ Line: 34
• 🛡️ Severity: ERROR
• 🔖 CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
• 🔗 Reference: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval
• 🔗 Reference: https://nodejs.org/api/child_process.html#child_processexeccommand-options-callback
• 🔗 Reference: https://www.stackhawk.com/blog/nodejs-command-injection-examples-and-prevention/
• 🔗 Reference: https://ckarande.gitbooks.io/owasp-nodegoat-tutorial/content/tutorial/a1_-_server_side_js_injection.html
• ✍️ Message: Found data from an Express or Next web request flowing to eval. If this data is user-controllable this can lead to execution of arbitrary system commands in the context of your application process. Avoid eval whenever possible.

🤖 LLM Analysis Summary

🐞 Vulnerability Description

eval() 함수는 문자열을 코드로 실행하는 기능을 제공합니다. 이로 인해 사용자 입력이 eval()로 전달되면 코드 인젝션 공격에 취약해질 수 있습니다. 특히, 사용자가 입력한 데이터를 직접 eval()에 전달하는 것은 매우 위험합니다.

⚠️ Potential Risks

공격자가 악의적인 코드를 req.body.preTax, req.body.afterTax, req.body.roth에 삽입하여 서버에서 실행될 수 있습니다. 이는 시스템 명령어 실행, 데이터 유출, 서비스 거부 등의 심각한 보안 문제를 초래할 수 있습니다.

🛠 Recommended Fix

eval()을 사용하지 않고, 안전한 방법으로 입력을 처리해야 합니다. 숫자 입력의 경우 parseInt() 또는 parseFloat()를 사용하여 문자열을 숫자로 변환하는 것이 좋습니다.

📎 References

parseInt() 대신 parseFloat()를 사용하여 소수점이 포함된 입력도 처리할 수 있도록 하였습니다. 필요에 따라 parseInt()로 변경할 수 있습니다.

🗂️ 2. index.js

🔎 SAST Analysis Summary

2-1. [Vulnerability] Open Redirect

• #️⃣ Line: 72
• 🛡️ Severity: WARNING
• 🔖 CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
• 🔗 Reference: https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet.html
• ✍️ Message: The application redirects to a URL specified by user-supplied input req that is not validated. This could redirect users to malicious locations. Consider using an allow-list approach to validate URLs, or warn users they are being redirected to a third-party website.

🤖 LLM Analysis Summary

🐞 Vulnerability Description

• 사용자가 제공한 입력값인 req.query.url을 통해 리다이렉션을 수행하는 방식은 검증되지 않은 URL로의 리다이렉션을 허용하여 악의적인 사이트로 사용자를 유도할 수 있는 취약점이 있습니다.

⚠️ Potential Risks

• 공격자는 악의적인 URL을 삽입하여 사용자를 피싱 사이트로 유도하거나, 악성 코드가 포함된 사이트로 리다이렉션할 수 있습니다. 이는 사용자 정보 유출 및 보안 사고로 이어질 수 있습니다.

🛠 Recommended Fix

• 허용된 URL 목록(allow-list)을 사용하여 리다이렉션할 URL을 검증하거나, 사용자가 외부 사이트로 리다이렉션될 때 경고 메시지를 표시하여 사용자가 이를 인지할 수 있도록 합니다.

📎 References

• 위 수정에서는 허용된 URL 목록을 사용하여 리다이렉션할 URL을 검증하는 방식을 도입했습니다. 필요에 따라 허용된 URL 목록을 업데이트하여 사용할 수 있습니다.

🗂️ 3. server.js

🔎 SAST Analysis Summary

3-1. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Don’t use the default session cookie name Using the default session cookie name can open your app to attacks. The security issue posed is similar to X-Powered-By: a potential attacker can use it to fingerprint the server and target attacks accordingly.

3-2. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Default session middleware settings: domain not set. It indicates the domain of the cookie; use it to compare against the domain of the server in which the URL is being requested. If they match, then check the path attribute next.

3-3. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Default session middleware settings: expires not set. Use it to set expiration date for persistent cookies.

3-4. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Default session middleware settings: httpOnly not set. It ensures the cookie is sent only over HTTP(S), not client JavaScript, helping to protect against cross-site scripting attacks.

3-5. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Default session middleware settings: path not set. It indicates the path of the cookie; use it to compare against the request path. If this and domain match, then send the cookie in the request.

3-6. [Vulnerability] Cryptographic Issues

• #️⃣ Lines: 78 ~ 102
• 🛡️ Severity: WARNING
• 🔖 CWE-522: Insufficiently Protected Credentials
• 🔗 Reference: https://owasp.org/Top10/A04_2021-Insecure_Design
• ✍️ Message: Default session middleware settings: secure not set. It ensures the browser only sends the cookie over HTTPS.

🤖 LLM Analysis Summary

🐞 Vulnerability Description

• 기본 세션 미들웨어 설정에서 domain, expires, httpOnly, path, secure 속성이 설정되지 않았습니다. 이 속성들은 쿠키의 보안과 관련된 중요한 설정입니다.
• 기본 세션 쿠키 이름을 사용하고 있습니다. 이는 서버를 식별하고 공격을 목표로 삼을 수 있는 정보를 제공할 수 있습니다.

⚠️ Potential Risks

• httpOnly가 설정되지 않으면 클라이언트 측 JavaScript에서 쿠키에 접근할 수 있어 XSS 공격에 취약해질 수 있습니다.
• secure가 설정되지 않으면 HTTPS를 통해서만 쿠키가 전송되지 않아 중간자 공격에 취약할 수 있습니다.
• domain과 path가 설정되지 않으면 쿠키가 의도하지 않은 도메인이나 경로에 전송될 수 있습니다.
• 기본 세션 쿠키 이름을 사용하면 서버의 유형을 식별하여 특정 공격을 목표로 삼을 수 있습니다.

🛠 Recommended Fix

• httpOnly, secure, domain, path, expires 속성을 적절히 설정하여 쿠키의 보안을 강화합니다.
• 세션 쿠키 이름을 기본값이 아닌 다른 이름으로 설정합니다.

📎 References

• domain 속성은 실제 사용 중인 도메인으로 교체해야 합니다.
• secure 속성을 사용하려면 HTTPS 서버가 필요합니다.

💉 Fix Details

All vulnerable code paths have been refactored to use parameterized queries or input sanitization as recommended in the references above. Please refer to the diff for exact code changes.

---