Chainlit AI 프레임워크 취약점으로 해커가 클라우드 환경을 침범할 수 있다
Chainlit은 인기 있는 오픈 소스 프레임워크로, 대화형 AI 애플리케이션을 구축하는 데 사용된다. 그러나 연구원들은 Chainlit 프레임워크에 두 가지 심각한 취약점을 발견했다. 이 취약점은 ChainLeak 취약점으로, 서버에서 임의의 파일을 읽을 수 있고 민감한 정보를 유출할 수 있다.
Chainlit 프레임워크는 PyPI 레지스트리에서 평균 700,000 개의 월간 다운로드를 기록하고, 연간 5,000,000 개의 다운로드를 기록한다. Chainlit 프레임워크는 대화형 AI 부분에 대한 준비된 웹 UI, 백엔드 플러밍 도구, 인증, 세션 처리, 클라우드 배포에 대한 내장 지원을 제공한다. Chainlit 프레임워크는 대기업 및 학술 기관에서 일반적으로 사용되며, 인터넷에 공개된 프로덕션 시스템에 설치된다.
Zafran 연구원들은 Chainlit 프레임워크에 두 가지 취약점을 발견했다. 첫 번째 취약점은 임의의 파일 읽기 취약점으로, CVE-2026-22218로 추적된다. 두 번째 취약점은 서버 측 요청 위조 취약점으로, CVE-2026-22219로 추적된다.
CVE-2026-22218 취약점은 /project/element 엔드포인트를 통해 공격자가 커스텀 엘리먼트를 제출할 수 있다. 이 엘리먼트의 'path' 필드를 제어할 수 있기 때문에 Chainlit은 공격자가 지정한 경로에 있는 파일을 공격자의 세션에 복사한다. 이로 인해 공격자가 서버에 접근할 수 있는 모든 파일을 읽을 수 있다. 민감한 정보는 API 키, 클라우드 계정 자격 증명, 소스 코드, 내부 구성 파일, SQLite 데이터베이스, 인증 비밀을 포함한다.
CVE-2026-22219 취약점은 SQLAlchemy 데이터 레이어를 사용하는 Chainlit 배포에 영향을 미친다. 공격자는 커스텀 엘리먼트의 'url' 필드를 설정하여 서버가 URL을 가져올 수 있게 한다. 공격자는 가져온 데이터를 엘리먼트 다운로드 엔드포인트를 통해 접근할 수 있다. 이로 인해 공격자가 내부 REST 서비스에 접근할 수 있고, 내부 IP와 서비스를 탐색할 수 있다.
Zafran 연구원들은 두 취약점을 결합하여 클라우드 환경에서 전체 시스템 침범과 측면 이동을 허용하는 공격 체인을 보여주었다. 연구원들은 취약점을 Chainlit 유지관리자에게 2025년 11월 23일 알렸고, 2025년 12월 9일 확인을 받았다. 취약점은 2025년 12월 24일 Chainlit 버전 2.9.4로 수정되었다.
취약점의 심각성과 공격 가능성으로 인해 영향을 받은 조직은 Chainlit 버전 2.9.4 이상으로 업그레이드할 것을 권장한다. 최신 버전은 2.9.6이다.