Adobe 보안 게시판

Magento에 사용할 수 있는 보안 업데이트 | APSB20-22

게시판 ID

게시 날짜

우선 순위

ASPB20-22

2020년 4월 28일      

2

요약

Magento는 Magento Commerce 및 Open Source 버전에 대한 업데이트를 발표했습니다.  이러한 업데이트는 심각, 중요, 보통(심각도 등급) 등급의 취약성을 해결합니다.  성공적인 작성으로 인해 임의의 코드가 실행될 수 있습니다.    

해당 버전

제품

버전

플랫폼

Magento Commerce 

2.3.4 및 이전 버전    

모두

Magento Open Source   

2.3.4 및 이전 버전    

모두

Magento Commerce 

2.2.11 및 이전 버전(참고 참조)

모두

Magento Open Source  

2.2.11 및 이전 버전(참고 참조)

모두

Magento Enterprise Edition    

1.14.4.4 및 이전 버전    

모두

Magento Community Edition  

1.9.4.4 및 이전 버전

모두

참고:

Magento 2.2x는 2019년 12월 31일에 지원이 종료되었습니다.

해결 방법

Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품

버전

플랫폼

우선 순위 등급

사용 가능성

Magento Commerce    

2.3.4-p2

모두

2

Magento Open Source    

2.3.4-p2

모두

2

Magento Commerce    

2.3.5-p1

모두

2

Magento Open Source    

2.3.5-p1

모두

2

Magento Enterprise Edition    

1.14.4.5

모두

2

Magento Community Edition    

1.9.4.5

모두

2

참고:

Magento Commerce 2.2.12는 Commerce 고객만 확장 지원할 수 있습니다.

취약성 세부 정보

취약점 카테고리 취약성 영향 심각도 사전 인증? 관리자 권한이 필요합니까?

Magento 버그 ID CVE 번호
명령 삽입



임의 코드 실행



심각



아니요 PRODSECBUG-2707



CVE-2020-9576



저장된 크로스 사이트 스크립팅    



민감한 정보 노출    



중요



아니요 PRODSECBUG-2671



CVE-2020-9577 



명령 삽입



임의 코드 실행



심각  



아니요 PRODSECBUG-2695



CVE-2020-9578  



보안 완화 건너뛰기



임의 코드 실행



심각



아니요







PRODSECBUG-2696



CVE-2020-9579
보안 완화 건너뛰기



임의 코드 실행 심각



아니요







PRODSECBUG-2697



CVE-2020-9580
저장된 크로스 사이트 스크립팅



민감한 정보 노출



중요



아니요







PRODSECBUG-2700



CVE-2020-9581
명령 삽입



임의 코드 실행



심각



아니요







PRODSECBUG-2708



CVE-2020-9582
명령 삽입



임의 코드 실행



심각



아니요







PRODSECBUG-2710



CVE-2020-9583
저장된 크로스 사이트 스크립팅



민감한 정보 노출



중요







아니요



PRODSECBUG-2715



CVE-2020-9584
심층 방어 보안 완화



임의 코드 실행



보통



아니요







PRODSECBUG-2541



CVE-2020-9585
심층 방어 보안 완화



관리자 패널에 대한 무단 액세스



보통







MPERF-10898



CVE-2020-9591



인증 무시



무단 제품 할인



보통







아니요



PRODSECBUG-2518



CVE-2020-9587



관찰 가능한 시간 불일치 서명 확인 무시



중요



아니요







PRODSECBUG-2677



CVE-2020-9588
비즈니스 로직 오류 권한 에스컬레이션 중요 아니요 PRODSECBUG-2722 CVE-2020-9630
보안 완화 건너뛰기 임의 코드 실행 치명적 아니요 PRODSECBUG-2703 CVE-2020-9631
보안 완화 건너뛰기 임의 코드 실행 치명적 아니요 PRODSECBUG-2704 CVE-2020-9632
참고:

1.     CVE-2020-9585가 기본 설치 시 완화됨

2.     CVE-2020-9591은 Magento 1에만 영향을 줌

참고:

사전 인증:  자격 증명 없이 취약성을 악용할 수 있습니다.   

관리자 권한 필요:  취약성은 관리자 권한을 가진 공격자만 악용할 수 있습니다.  

감사의 말

Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.  

  • Blaklis(CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon(CVE-2020-9577)
  • Y0natan(CVE-2020-9578)
  • Edgar Boda-Majer(CVE-2020-9580)
  • Qubitz(CVE-2020-9585)
  • Magnusg(CVE-2020-9587)
  • Wasin Sae-ngow(CVE-2020-9588)
  • Max Chadwick(CVE-2020-9630)

 

수정

2020년 5월 4일: CVE-2020-9586에 대한 승인이 제거되었습니다.

2020년 4월 7일: 원본 버전에서 실수로 누락된 CVE-2020-9630이 추가되었습니다. 

2020년 5월 12일: 원본 버전에서 실수로 누락된 CVE-2020-9631 및 CVE-2020-9632가 추가되었습니다. 

 Adobe

쉽고 빠르게 지원 받기

신규 사용자이신가요?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

10월 14~16일 마이애미 비치 및 온라인

Adobe MAX 2024

Adobe MAX

The Creativity Conference

10월 14~16일 마이애미 비치 및 온라인