설명서

필요한 조치: Adobe Commerce에서 사용할 수 있는 중요 보안 업데이트(APSB25-88)

Last update: Thu Sep 18 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

2025년 9월 18일에 업데이트됨

최근 독립 보안 연구진이 공격자가 Commerce REST API(CVE-2025-54236)를 통해 고객 계정을 장악할 수 있는 Adobe Commerce의 문제에 대해 알게 되었습니다.

Adobe은 이 취약성이 야생에서 악용되고 있다는 증거가 없습니다.

Adobe에서 이 취약성을 알리는 보안 게시판을 공개했습니다. 해당 게시판은 여기에서 찾을 수 있습니다.

참고: 위의 보안 게시판에 나열된 취약성 CVE-2025-54236을 수정하기 위해 Adobe은 CVE-2025-54236을 해결하는 hotfix VULN-32437-2-4-X-patch도 릴리스했습니다.

가능한 한 빨리 핫픽스를 적용하십시오. 이 작업을 수행하지 않으면 이 보안 문제에 취약해지며 Adobe에서 수정할 수 있는 수단이 제한됩니다.

참고: 클라우드 인프라에서 Adobe Commerce을 사용하는 판매자의 경우 이 취약성의 악용으로부터 환경을 보호하기 위해 WAF(웹 응용 프로그램 방화벽) 규칙을 배포했습니다.

Adobe은 이 취약성의 악용을 줄이기 위해 WAF 규칙을 배포했지만 WAF 규칙에만 의존해도 포괄적인 보호를 제공하지 않습니다. 공유 책임 모델에서 판매자는 응용 프로그램의 보안을 유지하고 패치를 적용해야 합니다. WAF은 추가적인 방어층이지만 보안 핫픽스를 적용해야 하는 필요성을 대체하지는 않습니다.

여기에 제공된 모든 교정 지침을 따라야 합니다. 여기에는 패치 적용, 모듈 업데이트 또는 기타 권장 보안 조치 구현이 포함될 수 있습니다. 이를 수행하지 않으면 환경이 노출될 수 있고 Adobe의 수정 지원 능력이 제한될 수 있습니다.

참고: Managed Services 판매자의 Adobe Commerce에 대해 고객 성공 엔지니어가 핫픽스 적용에 대한 추가 지침을 제공할 수 있습니다.

참고: 질문이 있거나 도움이 필요한 경우 지원 팀에 문의하세요.

다시 말해서 Adobe Commerce 여기에서 사용할 수 있는 최신 보안 업데이트를 찾을 수 있습니다.

설명 description

영향을 받는 제품 및 버전

Adobe Commerce(모든 배포 메서드):

  • 2.4.9-alpha2 및 이전
  • 2.4.8-p2 및 이전
  • 2.4.7-p7 및 이전
  • 2.4.6-p12 및 이전
  • 2.4.5-p14 및 이전
  • 2.4.4-p15 및 이전

Adobe Commerce:

  • 1.5.3-alpha2 및 이전
  • 1.5.2-p2 및 이전
  • 1.4.2-p7 및 이전
  • 1.3.4-p14 및 이전
  • 1.3.3-p15 및 이전

Magento Open Source:

  • 2.4.9-alpha2 및 이전
  • 2.4.8-p2 및 이전
  • 2.4.7-p7 및 이전
  • 2.4.6-p12 및 이전
  • 2.4.5-p14 및 이전

사용자 지정 특성 직렬화 가능 모듈:

  • 버전 0.1.0에서 0.4.0으로

문제

잠재적 공격자가 Commerce REST API를 통해 Adobe Commerce에서 고객 계정을 탈취할 수 있습니다.

해결 방법 resolution

CVE-2025-54236: 잠재적인 공격자가 Commerce REST API를 통해 고객 계정을 인수할 수 있습니다.

사용자 정의 속성 직렬화 가능 모듈 버전의 경우:

이 지침은 Adobe Commerce 인스턴스에 이전 버전의 사용자 지정 특성 직렬화 가능 모듈(magento/out-of-process-custom-attributes 모듈)이 설치된 경우에만 적용됩니다.

참고:

  • 사용자 지정 특성 직렬화 가능 모듈(magento/out-of-process-custom-attributes 모듈)이 환경에 설치되지 않은 경우 이 지침을 무시하고 제공된 핫픽스 패치 VULN-32437-2-4-X-patch를 계속 적용할 수 있습니다.
  • 최신 버전의 사용자 지정 특성 직렬화 가능 모듈을 이미 실행 중인 경우 업그레이드할 필요가 없습니다. 제공된 핫픽스 패치 VULN-32437-2-4-X-patch를 계속 적용하십시오.

제공된 핫픽스 패치 VULN-32437을(를) 적용하여 취약성을 완전히 수정하십시오.

적용 가능한 버전: 0.1.0 - 0.3.0

사용자 지정 특성 직렬화 가능 모듈을 버전 0.4.0 이상으로 업데이트합니다.

모듈을 업데이트하려면 이 composer 명령 을(를) 실행할 수 있습니다.

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Adobe Commerce 버전의 경우:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15

Adobe Commerce B2B 버전의 경우:

  • 1.5.3-alpha1, 1.5.3-alpha2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1
  • 1.5.0
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1.4.1
  • 1.4.0
  • 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8, 1.3.3.5-p9, 1.3.5-p10, 1.3.5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15

Magento Open Source 버전의 경우:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14

다음 핫픽스를 적용하거나 최신 보안 패치로 업그레이드하십시오.

핫픽스 적용 방법

파일의 압축을 풀고 지침이 필요하면 지원 기술 자료에서 Adobe에서 제공하는 작성기 패치를 적용하는 방법을 참조하십시오.

Adobe Commerce on Cloud 판매자의 경우에만 - 패치가 적용되었는지 여부를 확인하는 방법

문제가 패치되었는지 쉽게 확인할 수 없으므로 CVE-2025-54236 분리 패치가 성공적으로 적용되었는지 확인하는 것이 좋습니다.

참고: 다음 단계를 수행하여 VULN-27015-2.4.7_COMPOSER.patch 파일을 예로 사용 하면 됩니다.

  1. 품질 패치 도구 설치.

  2. 다음 명령을 실행합니다.

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. 이와 유사한 출력이 표시됩니다. 여기서 이 예제 를 참조하십시오. VULN-27015 ​이(가) 적용됨 상태를 반환합니다.

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

보안 업데이트

Adobe Commerce에서 사용할 수 있는 보안 업데이트:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f