Adobe 보안 게시판

검색

마지막 업데이트 날짜 2021년 9월 10일 | 다음에도 적용됨 Digital Editions

Magento에 사용할 수 있는 보안 업데이트 | APSB21-30

게시판 ID	게시 날짜	우선 순위
ASPB30-21	2021년 5월 11일	2

요약

성공적으로 악용하게 되면 제한된 리소스에 무단으로 액세스하게 될 수 있습니다. Magento는 Magento Commerce 및 Magento Open Source 버전에 대한 업데이트를 발표했습니다. 이 업데이트는 중요 및 치명적 등급으로 평가된 취약성을 해결합니다. 성공적인 작성으로 인해 임의의 코드가 실행될 수 있습니다.

해당하는 버전

제품	버전	플랫폼
Magento Commerce	2.4.2 및 이전 버전	모두
	2.4.1-p1 및 이전 버전	모두
	2.3.6-p1 및 이전 버전	모두
Magento Open Source	2.4.2 및 이전 버전	모두
	2.4.1-p1 및 이전 버전	모두
	2.3.6-p1 및 이전 버전	모두

해결 방법

Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품	업데이트된 버전	플랫폼	우선 순위 등급	릴리스 정보
Magento Commerce	2.4.2-p1	모두	2	2.4.x 릴리스 정보 2.3.x 릴리스 정보
Magento Commerce	2.3.7	모두	2
Magento Open Source	2.4.2-p1	모두	2
Magento Open Source	2.3.7	모두	2

취약성 세부 정보

취약점 카테고리	취약성 영향	심각도	사전 인증?	관리자 권한이 필요합니까?	Magento 버그 ID	CVE 번호
정보 공개	문서 루트 경로 공개	중재	아니요	예	PRODSECBUG-2927	CVE-2021-28566
부적절한 권한 부여	고객 데이터의 무단 수정	보통	아니요	예	PRODSECBUG-2931	CVE-2021-28567
크로스 사이트 스크립팅(DOM 기반)	브라우저에서 임의 JavaScript 실행	중요	예	아니요	PRODSECBUG-2918	CVE-2021-28556
부적절한 권한 부여	제한된 리소스에 대한 무단 액세스	중재	아니요	예	PRODSECBUG-2935	CVE-2021-28563
보안 설계 원칙 위반	제한된 리소스에 대한 무단 액세스	중재	아니요	예	PRODSECBUG-2943	CVE-2021-28583
경로 통과	임의 파일 시스템 쓰기	중재	아니요	예	PRODSECBUG-2957	CVE-2021-28584
부적절한 입력 유효성 검사	보안 기능 무시	중재	아니요	아니요	MC-39885	CVE-2021-28585

참고:

사전 인증: 자격 증명 없이 취약성을 악용할 수 있습니다.

관리자 권한 필요: 취약성은 관리자 권한을 가진 공격자만 악용할 수 있습니다.

이 문서에서 참조된 CVE에 대한 추가 기술 설명은 MITRE 및 NVD 사이트에서 제공됩니다.

감사의 말

Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.   

Kien Hoang(CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja(https://ethic.ninja) (CVE-2021-28566)
Charybdis(CVE-2021-28556)
Igor Wulff(CVE-2021-28583)
Derp47(CVE-2021-28584)

쉽고 빠르게 지원 받기

신규 사용자이신가요?