Adobe Commerce パス・トラバーサル

この脆弱性を悪用されると、攻撃者はMagentoのインストールディレクトリ外のファイルにアクセスし、変更できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはサーバー全体の制御奪取といった深刻な被害が発生する可能性があります。攻撃者は、ウェブインターフェースを通じて、この脆弱性を悪用する可能性があります。類似の脆弱性は、ファイルアップロード機能の不備や、入力値の検証不足によって引き起こされることがあります。

E-commerce businesses running Magento Community Edition versions 2.4.4 through 2.4.7-p3 are at significant risk. Specifically, organizations using legacy Magento installations with outdated security practices and those relying on shared hosting environments are particularly vulnerable, as they may have limited control over server configurations and file permissions.

• php: Review web server access logs for unusual file access attempts, particularly those targeting files outside the intended web root directory. Look for requests containing path traversal sequences like ../.

grep '../' /var/log/apache2/access.log

• php: Examine Magento's file system permissions to ensure that only authorized users and processes have write access to critical files and directories.

find /var/www/magento -type d -perm -2 -print

• generic web: Monitor for unexpected file modifications within the Magento installation directory. Use file integrity monitoring tools to detect unauthorized changes. • generic web: Check response headers for any signs of unauthorized file access or disclosure.

1. 2025-02-11Disclosure

   disclosure

1. 予約済み2025-01-21
2. 公開日2025-02-11
3. 更新日2025-03-17
4. EPSS 更新日2026-04-02

まず、Magento Community Editionをバージョン2.4.7-p4以上にアップデートすることを推奨します。アップデートが困難な場合は、ウェブアプリケーションファイアウォール（WAF）を使用して、不正なファイルアクセス試行をブロックすることを検討してください。また、ファイルアクセス権限を厳格に制限し、不要なファイルへのアクセスを禁止することで、攻撃の影響範囲を限定できます。攻撃の兆候を検知するために、ファイルシステムの整合性チェックを定期的に実施することも有効です。