어도비, 자사 일부 솔루션에 대한 보안 업데이트 발표

어도비 커머스, 마젠토 오픈소스, 어도비 커머시 웹후크 플러그인 등 10개 솔루션 대상
XML 외부 엔티티 참조의 부적절한 제한 취약점은 CVE 9.8 등 매우 위험한 수준

[보안뉴스 김영명 기자] 어도비(Adobe) 사는 최근 어도비 커머스와 마젠토 오픈소스, 어도비 커머스 웹후크 플러그인 등 자사 일부 솔루션에 대한 보안 업데이트를 발표하며 사용자들에게 최신 버전으로 업데이트할 것을 당부했다. 이번에 어도비가 공지한 솔루션은 임의코드 실행과 보안기능 우회 등으로 CVE 수준은 최소 4.8에서 높게는 9.8까지 다양했다.

▲어도비에서 서비스하고 있는 다양한 제품들[이미지=어도비 홈페이지]

먼저 임의코드 실행 취약점으로는 ‘서버측 요청 위조(SSRF)(CWE-918)’에 CVE-2024-34111라는 CVE ID 번호가 할당됐으며 8.5의 위험도 수준이라고 밝혔다. 이어 ‘XML 외부 엔티티 참조(‘XXE’)의 부적절한 제한(CWE-611)’은 9.8의 위험도로 가장 높다고 분석하며 CVE-2024-34102 번호를 부여했다. 또한, ‘잘못된 입력 유효성 검사(CWE-20)’는 Adobe Commerce Webhooks 플러그인에서 발견됐으며, CVE-2024-34108 번호가 매겨졌다. 특히 해당 취약점은 위험도가 아주 높은(critical) 취약점이라고 분석하며 위험도는 9.1로 평가됐으며, 같은 취약점에 대해 8.0의 또 다른 위험도를 내놓았지만 아직 CVE 번호는 매겨지지 않았다.

이어 ‘위험 유형이 있는 파일의 무제한 업로드(CWE-434)’ 취약점도 Adobe Commerce Webhooks 플러그인에 발견됐으며, ‘사이트 간 스크립팅(Storeed XSS)(CWE-79)’의 취약점도 위험도가 중요한(important) 취약점이라고 설명했다.

다음으로 보안기능 우회 취약점으로는 ‘부적절한 인증(CWE-285)’이 발견됐으며 위험도가 아주 높은(critical) 수준이라고 설명했다. 그리고 ‘부적절한 인증(CWE-287)’ 취약점과 ‘부적절한 접근 제어(CWE-284)’ 취약점은 위험도가 중요한(important) 수준이라고 설명했다.

어도비 커머스에 대한 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier △2.4.3-ext-8 for 2.4.3-ext-7 and earlier △2.4.2-ext-8 for 2.4.2-ext-7 and earlier 등 6개 버전에 해당한다. 또한 마젠토 오픈소스 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier 등 4개 버전에 해당한다.

어도비 커머스와 마젠토 오픈소스 취약점은 각각 2.4.x 버전으로 업데이트가 가능하다. 또한 Adobe Commerce Webhooks 플러그인 취약점은 모듈 및 확장 업그레이드를 통해 해당 취약점을 제거할 수 있다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)