CVE-2025-55182, CVE-2025-66478 이슈관련한 결제위젯 연동 키, API 개별 연동 키 문의
안녕하세요 [결제위젯 연동 키, API 개별 연동 키]가 프로젝트 환경변수에 작성이 되있습니다.
CVE-2025-55182, CVE-2025-66478 관련해, [결제위젯 연동 키, API 개별 연동 키] 변경이 필요할까요?
변경이 필요하다면 변경 요청은 어떻게 진행하나요?
14 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(문제가 발생한 이미지나 전체 결제흐름 동영상을 첨부해주시면 빠른 분석을 받으실 수 있습니다.)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
동일한 문의입니다. 혹시나 KEY를 탈취 당한 상태에서 키를 변경하지 않아도 되는 건지 문의를 드립니다.
@here
라이브키가 노출됬나요?
+ 시크릿키가 노출됬나요?
이실장님, 이번 CVE-2025-55182, 66478은 RCE(Remote Code Executable vulnerability) 취약점이라서
payload에 원하는 명령어를 넣어서 마음껏 실행이 가능해요.
최근에 나온 PoC 코드도, env를 읽어들이는 명령어였어서 환경변수에 지정한 시크릿키가 노출되었을 가능성이 매우 높다고 보긴해요
저희는 바로 패치하긴했는데 다수 가맹점에서 유출됬는지 아닌지도 모르는 상태로 있을거라서
최근에 나온 PoC 코드도< 요건 어떤거에요?
해당 취약점 증명하는 exploit입니다. DM으로 자세한 내용 보내드릴께요
(악용 가능성이 있어서 이 채팅에 공유하기 어려움)
내부적으로 소식 업데이트 되면 다시 답변부탁드립니다....
넵 해당 내용에 대한 가이드 등이 생성된다면 업데이트 부탁드립니다. 감사합니다.
@here
침해흔적이 있다면 초기화 하시면되고
침해 흔적이 없다면 따로 하실 필요는 없습니다.
초기화가 [결제위젯 연동 키, API 개별 연동 키]에 대한 재발급을 말씀하시는건지, 단순히 서비스/서버 초기화 말씀하시는건지요
키 재발급입니다
키 재발급 절차에 대한 안보여서요....고객센터로 문의하면 될까요?
아뇨 키 재발급을 희망하실 경우 아래 메일로 mid 및 재발급 필요한 키값 전달해주세요. 그럼 이어서 절차 안내드릴겁니다.
토스페이먼츠 결제연동팀
techsupport@tosspayments.com
- MID 등 가맹점 특정 정보
- 재발급을 원하는 key 값 (결제위젯 연동 키, API 개별 연동 키 등)
은 꼭 넣어서 전달 주세요
-# * 결제위젯 연동키는 사업자번호로 관리되므로, 동 사업자번호로 여러 서비스가 있다면 모두 바꿔야 합니다.
-# * API 개별 연동키는 재발급 원하는 모든 MID를 다 넣어야 합니다.