HIGHCVE-2024-49521CVSS 7.7

Adobe Commerce | 服务器端请求伪造 (SSRF) (CWE-918)

平台

adobe

组件

adobe-commerce

修复版本

3.2.6

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-49521 描述了 Adobe Commerce 中存在的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许低权限攻击者通过发送伪造的请求从易受攻击的服务器向内部系统发起请求，从而绕过安全措施。此漏洞影响 Adobe Commerce 3.2.5 及更早版本，已于 3.2.6 版本中修复。

影响与攻击场景

该 SSRF 漏洞允许攻击者绕过安全措施，例如防火墙，从而访问内部系统。攻击者可以利用此漏洞扫描内部网络，访问敏感数据，甚至可能执行未经授权的操作。由于该漏洞不需要用户交互，因此攻击者可以远程利用它，造成广泛的影响。攻击者可以利用此漏洞访问内部 API、数据库或其他敏感资源，从而导致数据泄露或系统损坏。如果内部系统存在其他漏洞，攻击者还可以利用 SSRF 漏洞进行横向移动，进一步扩大攻击范围。

利用背景

该漏洞已公开披露，并已添加到 NVD 数据库中。目前尚无公开的 PoC 代码，但由于 SSRF 漏洞的普遍性，预计未来可能会出现。CISA 尚未将其添加到 KEV 目录中。攻击概率评估为中等，因为该漏洞不需要用户交互，且攻击者可以远程利用。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.

检测步骤翻译中…

• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.

 grep -i 'internal_ip_address' /var/log/apache2/access.log

• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.

curl -v http://<adobe_commerce_server>/internal_resource

• generic web: Check response headers for clues of internal redirects or server information.

curl -I http://<adobe_commerce_server>

攻击时间线

2024-11-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.32% (55% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件adobe-commerce

供应商Adobe

影响范围修复版本

0 – 3.2.53.2.6

弱点分类 (CWE)

CWE-918

时间线

已保留2024-10-15
发布日期2024-11-12
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是升级到 Adobe Commerce 3.2.6 或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。首先，审查并强化防火墙规则，以限制服务器可以访问的外部资源。其次，实施严格的输入验证，以防止攻击者发送恶意请求。最后，监控服务器日志，以检测任何可疑活动。升级后，验证 SSRF 漏洞是否已成功修复，可以通过尝试发送请求到内部资源来确认。

修复方法

将 Adobe Commerce 更新到 3.2.5 之后的版本以修复 SSRF 漏洞。请参阅 Adobe 安全公告 (APSB24-90) 以获取更多详细信息和有关更新的具体说明。建议尽快应用更新以避免潜在攻击。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-49521 — SSRF in Adobe Commerce?

CVE-2024-49521 是 Adobe Commerce 3.2.5 及更早版本中的服务器端请求伪造 (SSRF) 漏洞，允许攻击者绕过安全措施访问内部系统。

我是否受到 CVE-2024-49521 in Adobe Commerce 的影响?

如果您正在使用 Adobe Commerce 3.2.5 或更早版本，则可能受到此漏洞的影响。请尽快升级到 3.2.6 或更高版本。

我如何修复 CVE-2024-49521 in Adobe Commerce?

升级到 Adobe Commerce 3.2.6 或更高版本是修复此漏洞的最佳方法。如果无法立即升级，请实施临时缓解措施，例如强化防火墙规则。

CVE-2024-49521 是否正在被积极利用?

目前尚无公开的利用案例，但由于 SSRF 漏洞的普遍性，预计未来可能会出现。

在哪里可以找到 Adobe Commerce 官方关于 CVE-2024-49521 的公告?

请访问 Adobe 安全公告页面，搜索 CVE-2024-49521 以获取官方公告：https://www.adobe.com/security/advisories/.