어도비(Adobe)는 19일(현지시간) 자사의 커머스와 마젠토 오픈소스 제품에 영향을 미치는 치명적인 보안 취약점을 해결하기 위한 패치를 출시했다.

더해커뉴스에 따르면, CVE-2022-24086으로 추적되는 이 버그는 취약성 점수 시스템에서 10점 만점에 9.8점의 CVSS 점수를 가지며 임의 코드 실행을 위해 무기화할 수 있는 "개선된 입력 유효성 검사" 문제로 특징지어진다.

사전 인증된 결함이므로 자격 증명 없이도 악용될 수 있다. 그러나 어도비는 이 취약성은 관리 권한을 가진 공격자에 의해서만 악용될 수 있다고 지적했다.

이 결함은 Adobe Commerce 및 Magento Open Source 2.4.3-p1 이전 버전과 2.3.7-p2 이전 버전에 영향을 미친다. Adobe Commerce 2.3.3 이하 버전은 취약하지 않다.

어도비는 2022년 2월 13일 발간된 권고문에서 "CVE-2022-24086이 어도비 커머스 상인들을 대상으로 한 매우 제한된 공격에서 악용되었다는 것을 알고 있다"고 언급했다.

이 같은 사실은 지난주 전자상거래 악성코드 및 취약점 탐지업체 산섹(Sansec)이 Magento 1 플랫폼을 운영하는 500개 사이트를 민감한 결제 정보를 빼돌리도록 설계된 신용카드 스키머와 함께 해킹한 Magecart 공격에 대해 폭로한 데 따른 것이다.

---

◇2022 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최

-부제: 최신 국내〮외 사이버위협 동향 및 방어 전략 공유

-일시: 2022년 02월 22일 화요일 오전 9시~오후 5시30분

-장소: 더케이호텔서울 2층 가야금홀

-주최: 데일리시큐

-참석대상: 정부, 공공, 금융, 대기업 등 CISO, CPO, 정보보안 실무자 250여 명(학생/프리랜서/보안과 관련없는 자는 참석제한)

-보안교육: 7시간 이수증 발급

-방역: 좌석간 거리두기, 손소독, 체온체크 등

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★