전세계적으로 4만여 개 이상 사이트에서 사용하는 PHP 기반의 오픈소스 전자상거래 플랫폼인 Adobe Commerce에서 XXE(XML External Entity Injection) 취약점이 발생했으며 CVE-2024-34102로 명명됐습니다.
Adobe Commerce 버전 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 이하 버전이 해당 취약점의 영향을 받으며, 공격자는 서버 내 임의 명령 실행, 보안 기능 우회, 권한 상승 공격 등 악성 행위를 할 수 있습니다.
해당 취약점은 HTTP body의 JSON 데이터를 역직렬화(deserialization)하는 과정에서 외부 엔티티를 참조하는 악의적인 XML 구문 해석으로 발생하며 Adobe의 안내에 따라 패치 및 업데이트를 수행하여 조치가 가능합니다.
SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면?
‘더 알아보기’를 클릭해 보세요!👇
👉 더 알아보기: https://www.skshieldus.com/eqstinsight/cve2408.html
◾ EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.