प्लेटफ़ॉर्म
php
घटक
magento/community-edition
में ठीक किया गया
2.4.9
2.4.7-p4
CVE-2025-24406 एक पाथ ट्रावर्सल भेद्यता है जो Magento Community Edition में पाई गई है। यह भेद्यता हमलावरों को प्रतिबंधित निर्देशिका के बाहर फ़ाइलों को संशोधित करने की अनुमति दे सकती है, जिससे सुरक्षा सुविधाओं को बाईपास किया जा सकता है। यह भेद्यता Magento Community Edition के संस्करण 2.4.7-p3 और उससे पहले को प्रभावित करती है। 2.4.7-p4 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को Magento इंस्टॉलेशन के बाहर फ़ाइलों तक पहुंचने और उन्हें संशोधित करने की अनुमति देती है। इसका मतलब है कि वे महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस फ़ाइलों या अन्य संवेदनशील डेटा को बदल सकते हैं। एक सफल शोषण से वेबसाइट की सुरक्षा से समझौता हो सकता है, डेटा चोरी हो सकता है, या सिस्टम पर नियंत्रण प्राप्त हो सकता है। चूंकि शोषण के लिए उपयोगकर्ता की कोई क्रिया की आवश्यकता नहीं होती है, इसलिए यह भेद्यता विशेष रूप से खतरनाक है। यह भेद्यता Log4Shell जैसे अन्य भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जहां हमलावर अप्रत्याशित स्थानों से फ़ाइलों को लोड करने के लिए पाथ मैनिपुलेशन का उपयोग करते हैं।
CVE-2025-24406 को 2025-02-11 को सार्वजनिक रूप से प्रकट किया गया था। इस भेद्यता के लिए अभी तक कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने का जोखिम है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। इस भेद्यता का शोषण करने के लिए हमलावरों को Magento इंस्टॉलेशन तक पहुंच की आवश्यकता होगी।
E-commerce businesses running Magento Community Edition versions 2.4.4 through 2.4.7-p3 are at significant risk. Specifically, organizations using legacy Magento installations with outdated security practices and those relying on shared hosting environments are particularly vulnerable, as they may have limited control over server configurations and file permissions.
• php: Review web server access logs for unusual file access attempts, particularly those targeting files outside the intended web root directory. Look for requests containing path traversal sequences like ../.
grep '../' /var/log/apache2/access.log• php: Examine Magento's file system permissions to ensure that only authorized users and processes have write access to critical files and directories.
find /var/www/magento -type d -perm -2 -print• generic web: Monitor for unexpected file modifications within the Magento installation directory. Use file integrity monitoring tools to detect unauthorized changes. • generic web: Check response headers for any signs of unauthorized file access or disclosure.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (46% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-24406 को कम करने के लिए सबसे प्रभावी तरीका Magento Community Edition को संस्करण 2.4.7-p4 में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल अनुमतियों को सख्त करना और वेब सर्वर कॉन्फ़िगरेशन को संशोधित करके प्रतिबंधित निर्देशिकाओं के बाहर फ़ाइलों तक पहुंच को सीमित करना एक अस्थायी उपाय हो सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू किया जा सकता है जो पाथ ट्रावर्सल हमलों का पता लगाते हैं और उन्हें रोकते हैं। फ़ाइल सिस्टम की अखंडता की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी अनधिकृत संशोधन का पता लगाया जा सके। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, फ़ाइलों की अनुमतियों और वेब सर्वर कॉन्फ़िगरेशन की समीक्षा करें।
Actualice Adobe Commerce a la última versión disponible que incluya la corrección para esta vulnerabilidad de path traversal. Consulte el boletín de seguridad de Adobe (APSB25-08) para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-24406 एक पाथ ट्रावर्सल भेद्यता है जो हमलावरों को प्रतिबंधित निर्देशिका के बाहर फ़ाइलों को संशोधित करने की अनुमति देती है।
यदि आप Magento Community Edition के संस्करण 2.4.7-p3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Magento Community Edition को संस्करण 2.4.7-p4 में अपडेट करें।
हालांकि अभी तक कोई सार्वजनिक PoC उपलब्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए सक्रिय शोषण का जोखिम है।
Magento सुरक्षा सलाहकार के लिए Magento वेबसाइट पर जाएं: [https://magento.com/security](https://magento.com/security)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।