HIGHCVE-2024-39399CVSS 7.7

Magento パス・トラバーサル (Path Traversal) の脆弱性

プラットフォーム

php

コンポーネント

magento/project-community-edition

修正版

2.4.5

2.0.3

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-39399は、Magento/Project-Community-Editionにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステム内の制限されたディレクトリ外のファイルやディレクトリにアクセスできる可能性があります。影響を受けるバージョンはMagento 2.4.7-p1以前です。2.4.7-p1, 2.4.6-p6, 2.4.5-p8へのアップデートで修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性は、攻撃者がMagentoのインストールディレクトリ外のファイルにアクセスすることを可能にします。これにより、機密情報（設定ファイル、データベース接続情報、ソースコードなど）が漏洩するリスクがあります。攻撃者は、この脆弱性を悪用して、サーバー上の他のシステムへのアクセスを試みることも可能です。類似の脆弱性は、Webアプリケーションフレームワークにおけるファイル操作の不備から発生することがあります。攻撃者は、ファイルシステム内の重要なファイルを読み取ることで、システム全体のセキュリティを侵害する可能性があります。

悪用の状況

このCVEは2024年8月14日に公開されました。現時点では、KEVリストには登録されていません。EPSSスコアは不明ですが、パス・トラバーサル脆弱性は一般的に悪用されやすいと考えられます。公的なPoCはまだ確認されていませんが、脆弱性の性質上、近い将来に公開される可能性があります。NVDおよびCISAの情報を常に監視し、最新の脅威情報に基づいて対応を検討してください。

リスク対象者翻訳中…

Organizations running Magento Project Community Edition versions 2.0.2 and earlier, particularly those with publicly accessible file directories or weak file access controls, are at significant risk. Shared hosting environments utilizing older Magento installations are also particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• linux / server:

find /var/www/html -type f -name '*config.php*' -print

• generic web:

curl -I http://your-magento-site.com/path/to/sensitive/file.txt

• php: Review Magento application code for instances of file path manipulation functions (e.g., realpath, basename, dirname) that might be vulnerable to path traversal attacks.

攻撃タイムライン

2024-08-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.76% (73% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmagento/project-community-edition

ベンダーosv

影響範囲修正版

0 – 2.4.4-p92.4.5

2.0.22.0.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-06-24
公開日2024-08-14
更新日2025-11-06
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずMagentoを2.4.7-p1, 2.4.6-p6, 2.4.5-p8にアップデートすることが最も効果的です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を使用して、不正なファイルアクセス試行をブロックすることを検討してください。WAFのルールは、ファイルパスの検証を強化し、不正な文字やディレクトリトラバーサルシーケンスを検出するように設定する必要があります。また、ファイルシステムのアクセス権限を適切に設定し、Magentoプロセスがアクセスできるファイルやディレクトリを最小限に抑えることも重要です。アップデート後、ファイルシステムの整合性を確認し、不正なファイルアクセスがないか監視してください。

修正方法翻訳中…

Actualice Adobe Commerce a la versión 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura de archivos locales. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-39399 — パス・トラバーサル脆弱性は、Magento/Project-Community-Editionで何ですか？

CVE-2024-39399は、Magento 2.4.7-p1以前のバージョンにおけるパス・トラバーサル脆弱性であり、攻撃者がファイルシステム内の制限されたディレクトリ外のファイルにアクセスできる可能性があります。

CVE-2024-39399で、Magento/Project-Community-Editionは影響を受けますか？

はい、Magento 2.4.7-p1以前のバージョンを使用している場合は、この脆弱性の影響を受けます。

CVE-2024-39399で、Magento/Project-Community-Editionをどのように修正しますか？

Magentoを2.4.7-p1, 2.4.6-p6, 2.4.5-p8にアップデートしてください。アップデートが困難な場合は、WAFによる保護を検討してください。

CVE-2024-39399は、現在積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。

CVE-2024-39399に関するMagentoの公式アドバイザリはどこで入手できますか？

Magentoのセキュリティアドバイザリページで確認できます。https://devdocs.magento.com/security/