HIGHCVE-2024-39399CVSS 7.7

Magento 路径遍历 (Path Traversal) 漏洞

平台

php

组件

magento/project-community-edition

修复版本

2.4.5

2.0.3

AI Confidence: highNVDEPSS 0.8%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-39399 是一种路径遍历漏洞，影响 Magento/Project-Community-Edition。攻击者可以利用此漏洞读取受限制目录之外的文件和目录，从而可能导致敏感信息泄露。此漏洞影响 Magento 2.4.7-p1 之前的版本。已发布补丁版本 2.4.7-p1, 2.4.6-p6, 2.4.5-p8。

影响与攻击场景

此路径遍历漏洞允许未经授权的攻击者访问 Magento 安装目录之外的文件系统。攻击者可以利用此漏洞读取配置文件、数据库凭据或其他敏感数据。攻击者可能利用这些信息进行进一步的攻击，例如横向移动到网络中的其他系统或窃取客户数据。由于无需用户交互即可利用此漏洞，因此攻击者可以大规模地利用它，对大量 Magento 商店构成威胁。此漏洞的潜在影响类似于其他已知的路径遍历漏洞，可能导致严重的数据泄露和系统破坏。

利用背景

CVE-2024-39399 已于 2024 年 8 月 14 日公开。目前尚无已知的公开利用程序 (PoC)，但由于漏洞的性质，预计未来可能会出现。此漏洞的 EPSS 评分可能为中等，表明存在被利用的可能性。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations running Magento Project Community Edition versions 2.0.2 and earlier, particularly those with publicly accessible file directories or weak file access controls, are at significant risk. Shared hosting environments utilizing older Magento installations are also particularly vulnerable due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• linux / server:

find /var/www/html -type f -name '*config.php*' -print

• generic web:

curl -I http://your-magento-site.com/path/to/sensitive/file.txt

• php: Review Magento application code for instances of file path manipulation functions (e.g., realpath, basename, dirname) that might be vulnerable to path traversal attacks.

攻击时间线

2024-08-14Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.76% (73% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件magento/project-community-edition

供应商osv

影响范围修复版本

0 – 2.4.4-p92.4.5

2.0.22.0.3

弱点分类 (CWE)

CWE-22

时间线

已保留2024-06-24
发布日期2024-08-14
修改日期2025-11-06
EPSS 更新日期2026-04-02

缓解措施和替代方案

缓解此漏洞的首要步骤是立即将 Magento/Project-Community-Edition 升级至 2.4.7-p1, 2.4.6-p6 或 2.4.5-p8。在升级之前，请务必备份您的 Magento 安装，以防升级过程中出现问题。如果升级导致问题，可以考虑回滚到之前的版本，但请注意，这会使系统再次暴露于漏洞。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止对可能被利用的文件的访问。实施严格的文件权限控制，确保只有授权用户才能访问敏感文件。升级后，请验证修复是否成功，例如通过尝试访问受限制目录之外的文件，确认访问被拒绝。

修复方法翻译中…

Actualice Adobe Commerce a la versión 2.4.7-p1, 2.4.6-p6, 2.4.5-p8 o superior. Esto corrige la vulnerabilidad de path traversal que permite la lectura de archivos locales. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-39399 — 路径遍历漏洞在 Magento/Project-Community-Edition 中？

CVE-2024-39399 是一种路径遍历漏洞，允许攻击者访问 Magento 安装目录之外的文件系统，影响 Magento 2.4.7-p1 之前的版本。

我是否受到 CVE-2024-39399 在 Magento/Project-Community-Edition 中影响？

如果您正在运行 Magento/Project-Community-Edition 2.4.7-p1 之前的版本，则您可能受到此漏洞的影响。

我如何修复 CVE-2024-39399 在 Magento/Project-Community-Edition 中？

立即将 Magento/Project-Community-Edition 升级至 2.4.7-p1, 2.4.6-p6 或 2.4.5-p8。

CVE-2024-39399 是否正在被积极利用？

目前尚无已知的公开利用程序，但由于漏洞的性质，预计未来可能会出现。

在哪里可以找到官方 Magento 针对 CVE-2024-39399 的公告？

请访问 Magento 安全公告页面以获取更多信息：https://magento.com/security