免费扫描
HIGHCVE-2024-49521CVSS 7.7

Adobe Commerce | 服务器端请求伪造 (SSRF) (CWE-918)

平台

adobe

组件

adobe-commerce

修复版本

3.2.6

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年5月
在NVD查看
保存

CVE-2024-49521 描述了 Adobe Commerce 中存在的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许低权限攻击者通过发送伪造的请求从易受攻击的服务器向内部系统发起请求,从而绕过安全措施。此漏洞影响 Adobe Commerce 3.2.5 及更早版本,已于 3.2.6 版本中修复。

影响与攻击场景

该 SSRF 漏洞允许攻击者绕过安全措施,例如防火墙,从而访问内部系统。攻击者可以利用此漏洞扫描内部网络,访问敏感数据,甚至可能执行未经授权的操作。由于该漏洞不需要用户交互,因此攻击者可以远程利用它,造成广泛的影响。攻击者可以利用此漏洞访问内部 API、数据库或其他敏感资源,从而导致数据泄露或系统损坏。如果内部系统存在其他漏洞,攻击者还可以利用 SSRF 漏洞进行横向移动,进一步扩大攻击范围。

利用背景

该漏洞已公开披露,并已添加到 NVD 数据库中。目前尚无公开的 PoC 代码,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。CISA 尚未将其添加到 KEV 目录中。攻击概率评估为中等,因为该漏洞不需要用户交互,且攻击者可以远程利用。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.

检测步骤翻译中…

• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.

 grep -i 'internal_ip_address' /var/log/apache2/access.log

• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.

curl -v http://<adobe_commerce_server>/internal_resource

• generic web: Check response headers for clues of internal redirects or server information.

curl -I http://<adobe_commerce_server>

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.32% (55% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N7.7HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件adobe-commerce
供应商Adobe
影响范围修复版本
0 – 3.2.53.2.6

弱点分类 (CWE)

CWE-918

时间线

  1. 已保留
  2. 发布日期
  3. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是升级到 Adobe Commerce 3.2.6 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。首先,审查并强化防火墙规则,以限制服务器可以访问的外部资源。其次,实施严格的输入验证,以防止攻击者发送恶意请求。最后,监控服务器日志,以检测任何可疑活动。升级后,验证 SSRF 漏洞是否已成功修复,可以通过尝试发送请求到内部资源来确认。

修复方法

将 Adobe Commerce 更新到 3.2.5 之后的版本以修复 SSRF 漏洞。请参阅 Adobe 安全公告 (APSB24-90) 以获取更多详细信息和有关更新的具体说明。建议尽快应用更新以避免潜在攻击。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-49521 — SSRF in Adobe Commerce?

CVE-2024-49521 是 Adobe Commerce 3.2.5 及更早版本中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者绕过安全措施访问内部系统。

我是否受到 CVE-2024-49521 in Adobe Commerce 的影响?

如果您正在使用 Adobe Commerce 3.2.5 或更早版本,则可能受到此漏洞的影响。请尽快升级到 3.2.6 或更高版本。

我如何修复 CVE-2024-49521 in Adobe Commerce?

升级到 Adobe Commerce 3.2.6 或更高版本是修复此漏洞的最佳方法。如果无法立即升级,请实施临时缓解措施,例如强化防火墙规则。

CVE-2024-49521 是否正在被积极利用?

目前尚无公开的利用案例,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。

在哪里可以找到 Adobe Commerce 官方关于 CVE-2024-49521 的公告?

请访问 Adobe 安全公告页面,搜索 CVE-2024-49521 以获取官方公告:https://www.adobe.com/security/advisories/.

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE