어도비, 자사 일부 솔루션에 대한 보안 업데이트 발표

어도비 커머스, 마젠토 오픈소스, 어도비 커머시 웹후크 플러그인 등 10개 솔루션 대상
XML 외부 엔티티 참조의 부적절한 제한 취약점은 CVE 9.8 등 매우 위험한 수준

[보안뉴스 김영명 기자] 어도비(Adobe) 사는 최근 어도비 커머스와 마젠토 오픈소스, 어도비 커머스 웹후크 플러그인 등 자사 일부 솔루션에 대한 보안 업데이트를 발표하며 사용자들에게 최신 버전으로 업데이트할 것을 당부했다. 이번에 어도비가 공지한 솔루션은 임의코드 실행과 보안기능 우회 등으로 CVE 수준은 최소 4.8에서 높게는 9.8까지 다양했다.

▲어도비에서 서비스하고 있는 다양한 제품들[이미지=어도비 홈페이지]

먼저 임의코드 실행 취약점으로는 ‘서버측 요청 위조(SSRF)(CWE-918)’에 CVE-2024-34111라는 CVE ID 번호가 할당됐으며 8.5의 위험도 수준이라고 밝혔다. 이어 ‘XML 외부 엔티티 참조(‘XXE’)의 부적절한 제한(CWE-611)’은 9.8의 위험도로 가장 높다고 분석하며 CVE-2024-34102 번호를 부여했다. 또한, ‘잘못된 입력 유효성 검사(CWE-20)’는 Adobe Commerce Webhooks 플러그인에서 발견됐으며, CVE-2024-34108 번호가 매겨졌다. 특히 해당 취약점은 위험도가 아주 높은(critical) 취약점이라고 분석하며 위험도는 9.1로 평가됐으며, 같은 취약점에 대해 8.0의 또 다른 위험도를 내놓았지만 아직 CVE 번호는 매겨지지 않았다.

이어 ‘위험 유형이 있는 파일의 무제한 업로드(CWE-434)’ 취약점도 Adobe Commerce Webhooks 플러그인에 발견됐으며, ‘사이트 간 스크립팅(Storeed XSS)(CWE-79)’의 취약점도 위험도가 중요한(important) 취약점이라고 설명했다.

다음으로 보안기능 우회 취약점으로는 ‘부적절한 인증(CWE-285)’이 발견됐으며 위험도가 아주 높은(critical) 수준이라고 설명했다. 그리고 ‘부적절한 인증(CWE-287)’ 취약점과 ‘부적절한 접근 제어(CWE-284)’ 취약점은 위험도가 중요한(important) 수준이라고 설명했다.

어도비 커머스에 대한 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier △2.4.3-ext-8 for 2.4.3-ext-7 and earlier △2.4.2-ext-8 for 2.4.2-ext-7 and earlier 등 6개 버전에 해당한다. 또한 마젠토 오픈소스 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier 등 4개 버전에 해당한다.

어도비 커머스와 마젠토 오픈소스 취약점은 각각 2.4.x 버전으로 업데이트가 가능하다. 또한 Adobe Commerce Webhooks 플러그인 취약점은 모듈 및 확장 업그레이드를 통해 해당 취약점을 제거할 수 있다.
[김영명 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)