XML 외부 엔티티 참조의 부적절한 제한 취약점은 CVE 9.8 등 매우 위험한 수준
[보안뉴스 김영명 기자] 어도비(Adobe) 사는 최근 어도비 커머스와 마젠토 오픈소스, 어도비 커머스 웹후크 플러그인 등 자사 일부 솔루션에 대한 보안 업데이트를 발표하며 사용자들에게 최신 버전으로 업데이트할 것을 당부했다. 이번에 어도비가 공지한 솔루션은 임의코드 실행과 보안기능 우회 등으로 CVE 수준은 최소 4.8에서 높게는 9.8까지 다양했다.
▲어도비에서 서비스하고 있는 다양한 제품들[이미지=어도비 홈페이지]
먼저 임의코드 실행 취약점으로는 ‘서버측 요청 위조(SSRF)(CWE-918)’에 CVE-2024-34111라는 CVE ID 번호가 할당됐으며 8.5의 위험도 수준이라고 밝혔다. 이어 ‘XML 외부 엔티티 참조(‘XXE’)의 부적절한 제한(CWE-611)’은 9.8의 위험도로 가장 높다고 분석하며 CVE-2024-34102 번호를 부여했다. 또한, ‘잘못된 입력 유효성 검사(CWE-20)’는 Adobe Commerce Webhooks 플러그인에서 발견됐으며, CVE-2024-34108 번호가 매겨졌다. 특히 해당 취약점은 위험도가 아주 높은(critical) 취약점이라고 분석하며 위험도는 9.1로 평가됐으며, 같은 취약점에 대해 8.0의 또 다른 위험도를 내놓았지만 아직 CVE 번호는 매겨지지 않았다.
이어 ‘위험 유형이 있는 파일의 무제한 업로드(CWE-434)’ 취약점도 Adobe Commerce Webhooks 플러그인에 발견됐으며, ‘사이트 간 스크립팅(Storeed XSS)(CWE-79)’의 취약점도 위험도가 중요한(important) 취약점이라고 설명했다.
다음으로 보안기능 우회 취약점으로는 ‘부적절한 인증(CWE-285)’이 발견됐으며 위험도가 아주 높은(critical) 수준이라고 설명했다. 그리고 ‘부적절한 인증(CWE-287)’ 취약점과 ‘부적절한 접근 제어(CWE-284)’ 취약점은 위험도가 중요한(important) 수준이라고 설명했다.
어도비 커머스에 대한 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier △2.4.3-ext-8 for 2.4.3-ext-7 and earlier △2.4.2-ext-8 for 2.4.2-ext-7 and earlier 등 6개 버전에 해당한다. 또한 마젠토 오픈소스 취약점은 △2.4.7-p1 for 2.4.7 and earlier △2.4.6-p6 for 2.4.6-p5 and earlier △2.4.5-p8 for 2.4.5-p7 and earlier △2.4.4-p9 for 2.4.4-p8 and earlier 등 4개 버전에 해당한다.
어도비 커머스와 마젠토 오픈소스 취약점은 각각 2.4.x 버전으로 업데이트가 가능하다. 또한 Adobe Commerce Webhooks 플러그인 취약점은 모듈 및 확장 업그레이드를 통해 해당 취약점을 제거할 수 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>