Plataforma
php
Componente
magento/community-edition
Corregido en
2.4.9
2.4.7-p4
La vulnerabilidad CVE-2025-24406 es una falla de 'Path Traversal' (recorrido de ruta) identificada en Adobe Commerce (Magento Community Edition) que afecta a versiones 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores. Un atacante no autenticado podría explotar esta vulnerabilidad para modificar archivos ubicados fuera del directorio restringido, comprometiendo la seguridad del sistema. La solución es actualizar a la versión 2.4.7-p4 o superior.
Esta vulnerabilidad de Path Traversal permite a un atacante no autenticado acceder y potencialmente modificar archivos críticos del sistema Magento. El atacante podría, por ejemplo, sobreescribir archivos de configuración, inyectar código malicioso en plantillas o incluso acceder a datos sensibles almacenados en el servidor. La falta de autenticación necesaria para la explotación amplía significativamente el radio de impacto, ya que cualquier persona con acceso a la red puede intentar explotar la vulnerabilidad. Un ataque exitoso podría resultar en la completa toma de control del servidor y la exposición de información confidencial, similar a ataques que han comprometido otras plataformas de comercio electrónico en el pasado.
La vulnerabilidad CVE-2025-24406 fue publicada el 11 de febrero de 2025. Actualmente no se ha añadido al KEV de CISA, y no se ha reportado explotación activa a gran escala. Sin embargo, la naturaleza de la vulnerabilidad (Path Traversal) y la falta de autenticación necesaria para su explotación la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
E-commerce businesses running Magento Community Edition versions 2.4.4 through 2.4.7-p3 are at significant risk. Specifically, organizations using legacy Magento installations with outdated security practices and those relying on shared hosting environments are particularly vulnerable, as they may have limited control over server configurations and file permissions.
• php: Review web server access logs for unusual file access attempts, particularly those targeting files outside the intended web root directory. Look for requests containing path traversal sequences like ../.
grep '../' /var/log/apache2/access.log• php: Examine Magento's file system permissions to ensure that only authorized users and processes have write access to critical files and directories.
find /var/www/magento -type d -perm -2 -print• generic web: Monitor for unexpected file modifications within the Magento installation directory. Use file integrity monitoring tools to detect unauthorized changes. • generic web: Check response headers for any signs of unauthorized file access or disclosure.
disclosure
Estado del Exploit
EPSS
0.24% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-24406 es actualizar Adobe Commerce a la versión 2.4.7-p4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al servidor a través de firewalls y listas de control de acceso (ACL) puede limitar el alcance de un posible ataque. Monitorear los registros del servidor en busca de patrones de acceso inusuales o intentos de manipulación de archivos también puede ayudar a detectar y responder a un ataque en curso. Si se sospecha de una intrusión, se recomienda realizar una auditoría de seguridad completa del sistema.
Actualice Adobe Commerce a la última versión disponible que incluya la corrección para esta vulnerabilidad de path traversal. Consulte el boletín de seguridad de Adobe (APSB25-08) para obtener más detalles e instrucciones específicas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24406 is a Path Traversal vulnerability affecting Magento Community Edition versions up to 2.4.7-p3, allowing attackers to potentially modify files outside the intended directory.
You are affected if you are running Magento Community Edition versions 2.4.4 through 2.4.7-p3. Upgrade to 2.4.7-p4 or later to mitigate the risk.
The recommended fix is to upgrade to Magento Community Edition version 2.4.7-p4 or later. If immediate upgrade is not possible, implement stricter file access controls.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Magento Security Advisories page for the latest information and updates regarding CVE-2025-24406: [https://devdocs.magento.com/security/guides/sa/index.html](https://devdocs.magento.com/security/guides/sa/index.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.