parisneo/lollms AI 프레임워크에 치명적 SSRF 취약점 발견, 내부 데이터 노출 위험

parisneo/lollms AI 프레임워크의 2.2.0 이전 버전에 서버 측 요청 위조(SSRF) 취약점(CVE-2026-0560)이 존재한다. 이 취약점은 네트워크를 통해 원격으로 악용 가능하며, 공격자 권한이 필요 없어 비교적 쉬운 공격이 가능하다. CVSS 7.5(높음)로 평가된 이 취약점은 성공적으로 악용될 경우 시스템의 높은 수준의 기밀 정보가 유출될 수 있는 위험을 내포하고 있다.

이 취약점은 CWE-918로 분류되며, 공격 벡터는 네트워크(Network), 공격 복잡성은 낮음(AC:L), 필요한 권한은 없음(PR:N)으로 설정되어 있다. 이는 인증되지 않은 공격자가 외부에서 내부 네트워크 자원을 대상으로 요청을 위조할 수 있음을 의미한다. 현재 EPSS 점수는 0.00%이며, CISA의 알려진 악용 취약점(KEV) 목록에는 등재되지 않은 상태다. 영향 받는 버전은 'unspecified'부터 2.2.0 이전까지로 보고되었다.

해당 취약점은 AI 애플리케이션의 백엔드 서버를 노출시켜, 내부 시스템에 대한 무단 접근 및 데이터 유출로 이어질 가능성이 있다. 개발팀은 즉시 영향 받는 버전을 확인하고, 제조사(parisneo)의 공식 보안 권고문을 참조하여 최신 버전(2.2.0 이상)으로 패치를 적용할 것을 강력히 권고하고 있다. 패치 적용 전까지는 해당 서비스의 외부 네트워크 접근을 제한하는 등의 임시 조치가 필요할 수 있다.