사고/사건New
OVMS3 CVSS 10.0 버퍼 오버플로우 취약점(CVE-2026-37541) — 원격 코드 실행 가능
보도일: 2026년 5월 1일|수집일: 2026년 5월 3일
요약
오픈소스 차량 모니터링 시스템 OVMS3 버전 3.3.005에서 CVSS 10.0 만점의 치명적 버퍼 오버플로우 취약점이 발견되어, 원격 코드 실행(RCE) 및 서비스 거부(DoS) 공격이 가능한 것으로 확인되었다.
본문
2026년 5월 1일 공개된 CVE-2026-37541은 OVMS3의 canformat_gvret.cpp 파일에서 GVRET 바이너리 데이터의 길이(length) 필드를 적절히 검증하지 않아 발생하는 버퍼 오버플로우 취약점이다. 공격자는 조작된 GVRET 프레임을 전송하여 CAN 버스 인터페이스를 통해 차량 모니터링 시스템의 메모리를 오버플로우시킬 수 있으며, 이를 통해 서비스 거부(DoS) 공격 또는 잠재적으로 임의 코드 실행(RCE)이 가능하다. OVMS3는 전기차(특히 Nissan Leaf, Renault Zoe, Tesla Roadster 등) 소유자들이 원격으로 차량 상태를 모니터링하고 제어하는 데 사용되는 오픈소스 하드웨어/소프트웨어 플랫폼이다.
시사점
오픈소스 차량 모니터링 플랫폼의 취약점이 CVSS 최고 등급으로 평가된 것은, 커넥티드카 애프터마켓 디바이스의 보안 관리가 OEM 차량 자체만큼 중요함을 보여준다. 국내 자동차관리법 기반 CSMS 인증에서도 OBD-II 동글 등 차량 네트워크에 접속하는 서드파티 디바이스의 보안 위험을 체계적으로 관리할 필요가 있다.