Math.js RCE 취약점(CVE-2026-40897)

■ Math.js 원격 코드 실행 취약점 (CVE-2026-40897)

JavaScript 및 Node.js 환경에서 사용되는 수학 연산 라이브러리 Math.js에서 서버 측 환경에 따라 원격 코드 실행(RCE)로 이어질 수 있는 취약점이 공개되었으며, CVE-2026-40897로 명명됐습니다.

해당 취약점은 Math.js v13.1.1 이상 v15.1.1 이하 버전이 영향을 받습니다. 공격자는 Math.js의 수식 계산 기능에서 reviver()를 통한 내부 Node 객체 생성과 배열 속성 검증 미흡 문제를 악용해, 조작된 수식 입력 값이 서버에서 실행되도록 만들 수 있습니다. 그 결과 공격자는 피해자 서버 권한으로 임의의 JavaScript 코드 및 OS 명령을 실행할 수 있으며, 서버 장악, 데이터 유출, 서비스 마비 등 심각한 피해로 이어질 수 있습니다.

해당 취약점은 v15.2.0에서 수정되었으며, 취약한 Math.js는 v15.2.0 이상으로 업그레이드하는 것을 권장합니다. 즉시 업그레이드가 어려운 경우, 외부 입력을 처리하는 수식 계산 기능에서 reviver()와 같이 불필요한 내부 함수를 비활성화해 공격 표면을 줄여야 합니다.

SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면, ‘더 알아보기’를 클릭해보세요!

👉 더 알아보기: https://www.skshieldus.com/report/eqstInsight/rt2605.html

✅EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.