AWS HTTP API Gateway에서 경로 끝에 슬래시(`/`)를 추가하는 것만으로 Lambda Authorizer 인증을 완전히 우회할 수 있는 보안 취약점이 발견됐다. 근본 원인은 HTTP API의 **greedy route matching**과 인가(Authorization) 레이어 간의 **경로 정규화(path normalization) 불일치**로, 라우팅은 요청을 정상 처리하지만 인가 검증은 건너뛰는 상황이 발생한다. 동일한 취약점 유형이 gRPC-Go에서도 CVE-2026-33186로 확인된 만큼, API Gateway나 미들웨어 기반 인가 구조를 설계할 때는 경로 정규화가 라우팅과 인가 레이어 모두에서 일관되게 적용되는지 반드시 검증해야 한다.
본 기사는 InfoQ의 내용을 기반으로 AI가 백엔드 개발자 관점에서 자동 요약한 스크랩입니다. 카테고리는 백엔드 분야에 해당하며, 관련 분야의 최신 동향 파악을 위해 매일 자동 수집됩니다.
아래 원문 링크를 통해 전체 내용을 확인할 수 있습니다.