Platform
php
Component
magento/community-edition
Opgelost in
2.4.9
2.4.7-p4
CVE-2025-24406 beschrijft een Path Traversal kwetsbaarheid in Magento Community Edition. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om bestanden buiten de toegestane directory te wijzigen, wat kan leiden tot een omzeiling van beveiligingsfuncties. De kwetsbaarheid treft versies van Magento Community Edition tot en met 2.4.7-p3. Een patch is beschikbaar in versie 2.4.7-p4.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben voor een Magento-installatie. Een aanvaller kan potentieel gevoelige configuratiebestanden, broncode of andere kritieke data wijzigen of verwijderen. Dit kan leiden tot een compromittering van de hele webshop, inclusief klantgegevens, transactiegegevens en andere vertrouwelijke informatie. De mogelijkheid om bestanden buiten de toegestane directory te wijzigen, opent de deur naar verdere aanvallen, zoals het uitvoeren van willekeurige code of het installeren van malware. Hoewel er geen gebruikersinteractie vereist is, vereist de exploitatie wel toegang tot de Magento-omgeving.
Op het moment van publicatie (2025-02-11) is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn ook geen public proof-of-concepts bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De CVSS score van 7.5 (HIGH) duidt op een significant risico, en het is aan te raden om de mitigatie zo snel mogelijk te implementeren.
E-commerce businesses running Magento Community Edition versions 2.4.4 through 2.4.7-p3 are at significant risk. Specifically, organizations using legacy Magento installations with outdated security practices and those relying on shared hosting environments are particularly vulnerable, as they may have limited control over server configurations and file permissions.
• php: Review web server access logs for unusual file access attempts, particularly those targeting files outside the intended web root directory. Look for requests containing path traversal sequences like ../.
grep '../' /var/log/apache2/access.log• php: Examine Magento's file system permissions to ensure that only authorized users and processes have write access to critical files and directories.
find /var/www/magento -type d -perm -2 -print• generic web: Monitor for unexpected file modifications within the Magento installation directory. Use file integrity monitoring tools to detect unauthorized changes. • generic web: Check response headers for any signs of unauthorized file access or disclosure.
disclosure
Exploit Status
EPSS
0.24% (46% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-24406 is het upgraden van Magento Community Edition naar versie 2.4.7-p4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webservergebruiker om de impact van een succesvolle exploitatie te minimaliseren. Controleer de bestandsrechten en -eigendom binnen de Magento-installatie om te zorgen voor de juiste beveiligingsconfiguratie. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Na de upgrade, controleer de logbestanden op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de exploitatie te reproduceren (indien mogelijk in een testomgeving).
Actualice Adobe Commerce a la última versión disponible que incluya la corrección para esta vulnerabilidad de path traversal. Consulte el boletín de seguridad de Adobe (APSB25-08) para obtener más detalles e instrucciones específicas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24406 is a Path Traversal vulnerability affecting Magento Community Edition versions up to 2.4.7-p3, allowing attackers to potentially modify files outside the intended directory.
You are affected if you are running Magento Community Edition versions 2.4.4 through 2.4.7-p3. Upgrade to 2.4.7-p4 or later to mitigate the risk.
The recommended fix is to upgrade to Magento Community Edition version 2.4.7-p4 or later. If immediate upgrade is not possible, implement stricter file access controls.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official Magento Security Advisories page for the latest information and updates regarding CVE-2025-24406: [https://devdocs.magento.com/security/guides/sa/index.html](https://devdocs.magento.com/security/guides/sa/index.html)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.