Adobe 보안 게시판

Adobe Commerce에 사용할 수 있는 보안 업데이트 | APSB21-64

게시판 ID

게시 날짜

우선 순위

APSB21-64

2021년 8월 11일      

2

요약

Magento는 Adobe Commerce 및 Magento Open Source 버전에 대한 업데이트를 발표했습니다. 이 업데이트는 치명적중요 등급으로 평가된 취약점을 해결합니다. 성공적인 작성으로 인해 임의의 코드가 실행될 수 있습니다.       

해당하는 버전

제품 버전 플랫폼
Adobe Commerce
2.4.2 및 이전 버전  
모두
2.4.2-p1 및 이전 버전  
모두
2.3.7 및 이전 버전 
모두
Magento Open Source 

2.4.2-p1 및 이전 버전
모두
2.3.7 및 이전 버전   
모두

해결 방법

Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품 업데이트된 버전 플랫폼 우선 순위 등급 릴리스 정보
Adobe Commerce
2.4.3  
모두
2

2.4.x 릴리스 정보

2.3.x 릴리스 정보

2.4.2-p2
모두
2
2.3.7-p1
모두
2
Magento Open Source 
2.4.3  
모두
2
2.4.2-p2
모두 2
2.3.7-p1 
모두
2

취약성 세부 정보

취약점 카테고리 취약성 영향 심각도 사전 인증? 관리자 권한이 필요합니까?

CVSS 기본 점수
CVSS 벡터
Magento 버그 ID CVE 번호
비즈니스 로직 오류(CWE-840)

보안 기능 무시

 중요

아니요

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

크로스 사이트 스크립팅(저장된 XSS)(CWE-79)

임의 코드 실행

중요

아니요

아니요

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

잘못된 액세스 제어(CWE-284)

임의 코드 실행

치명적

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

잘못된 인증(CWE-285)

보안 기능 무시

치명적

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

잘못된 인증(CWE-285)

보안 기능 무시

중요

아니요

아니요

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

잘못된 입력 유효성 검사(CWE-20)

애플리케이션 서비스 거부

치명적

아니요

아니요

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

잘못된 입력 유효성 검사(CWE-20)

권한 승격

치명적

아니요

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

잘못된 입력 유효성 검사(CWE-20)

보안 기능 무시

치명적

아니요

아니요

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

잘못된 입력 유효성 검사(CWE-20)

보안 기능 무시

중요

아니요

아니요

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

잘못된 입력 유효성 검사(CWE-20)

임의 코드 실행

치명적

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

경로 통과

(CWE-22)

임의 코드 실행

치명적

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

OS 명령 삽입(CWE-78)

임의 코드 실행

치명적

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

잘못된 인증(CWE-863)

임의 파일 시스템 읽기

중요

아니요

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

SSRF(서버 측 요청 위조)

(CWE-918)

임의 코드 실행

치명적

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML 삽입

(블라인드 XPath 삽입으로도 알려짐)(CWE-91)

임의 코드 실행

치명적

아니요

아니요

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML 삽입

(블라인드 XPath 삽입으로도 알려짐)(CWE-91)

임의 코드 실행

치명적

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

참고:

사전 인증:  자격 증명 없이 취약성을 악용할 수 있습니다.   

관리자 권한 필요:  취약성은 관리자 권한을 가진 공격자만 악용할 수 있습니다.  

감사의 말

Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.   

  • Blaklis(CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv(CVE-2021-36012)
  • Zb3(CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace(CVE-2021-36044)
  • Floorz(CVE-2021-36030)
  • Eboda(CVE-2021-36022)
  • Broadway Photo Supply Limited를 대표하는 Trivani Pant(CVE-2021-36020)

 

개정 버전

2021년 8월 13일: Magento/Magento Commerce를 Adobe Commerce로 업데이트했습니다.

 


자세한 내용은 https://helpx.adobe.com/kr/security.html을 방문하거나 PSIRT@adobe.com으로 이메일을 보내십시오.

 Adobe

쉽고 빠르게 지원 받기

신규 사용자이신가요?

Adobe MAX 2024

Adobe MAX
크리에이티비티 컨퍼런스

10월 14~16일 마이애미 비치 및 온라인

Adobe MAX

크리에이티비티 컨퍼런스

10월 14~16일 마이애미 비치 및 온라인

Adobe MAX 2024

Adobe MAX
크리에이티비티 컨퍼런스

10월 14~16일 마이애미 비치 및 온라인

Adobe MAX

크리에이티비티 컨퍼런스

10월 14~16일 마이애미 비치 및 온라인