HIGHCVE-2025-24406CVSS 7.5

Adobe Commerce 路径遍历漏洞

平台

php

组件

magento/community-edition

修复版本

2.4.9

2.4.7-p4

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-24406 描述了 Magento Community Edition 中的路径遍历漏洞，允许未经身份验证的攻击者绕过安全限制。该漏洞可能导致攻击者修改存储在受限制目录之外的文件，从而可能导致严重的安全问题。受影响的版本包括 Magento Community Edition 2.4.7-p3 及更早版本，建议尽快升级至 2.4.7-p4 版本以缓解风险。

影响与攻击场景

该路径遍历漏洞允许攻击者在 Magento 服务器上执行未经授权的文件修改操作。攻击者可以通过构造恶意的请求，访问并修改位于 Web 根目录之外的文件，例如配置文件、系统文件或敏感数据。这可能导致信息泄露、代码执行、甚至完全控制受影响的 Magento 实例。由于该漏洞不需要用户交互，攻击者可以远程利用，造成广泛的影响。类似的安全事件表明，路径遍历漏洞可能被用于部署恶意代码或篡改网站内容。

利用背景

该漏洞已公开披露，且 CVSS 评分较高（7.5），表明其具有较高的利用风险。目前尚无公开的漏洞利用程序，但由于该漏洞的严重性，预计未来可能会出现。建议密切关注安全社区的动态，并及时采取必要的安全措施。尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

E-commerce businesses running Magento Community Edition versions 2.4.4 through 2.4.7-p3 are at significant risk. Specifically, organizations using legacy Magento installations with outdated security practices and those relying on shared hosting environments are particularly vulnerable, as they may have limited control over server configurations and file permissions.

检测步骤翻译中…

• php: Review web server access logs for unusual file access attempts, particularly those targeting files outside the intended web root directory. Look for requests containing path traversal sequences like ../.

grep '../' /var/log/apache2/access.log

• php: Examine Magento's file system permissions to ensure that only authorized users and processes have write access to critical files and directories.

find /var/www/magento -type d -perm -2 -print

• generic web: Monitor for unexpected file modifications within the Magento installation directory. Use file integrity monitoring tools to detect unauthorized changes. • generic web: Check response headers for any signs of unauthorized file access or disclosure.

攻击时间线

2025-02-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.24% (46% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件magento/community-edition

供应商osv

影响范围修复版本

0 – 2.4.8-beta12.4.9

2.4.7-beta12.4.7-p4

弱点分类 (CWE)

CWE-22

时间线

已保留2025-01-21
发布日期2025-02-11
修改日期2025-03-17
EPSS 更新日期2026-04-02

披露后-3天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将 Magento Community Edition 升级至 2.4.7-p4 或更高版本。如果无法立即升级，可以考虑实施临时缓解措施。例如，配置 Web 服务器以限制对敏感文件的访问，并使用 Web 应用防火墙 (WAF) 过滤掉可疑的请求。此外，定期审查 Magento 实例的配置，确保遵循安全最佳实践。升级后，请验证文件权限是否正确设置，并检查系统日志中是否存在异常活动。

修复方法翻译中…

Actualice Adobe Commerce a la última versión disponible que incluya la corrección para esta vulnerabilidad de path traversal. Consulte el boletín de seguridad de Adobe (APSB25-08) para obtener más detalles e instrucciones específicas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-24406 — 路径遍历漏洞在 Magento Community Edition 中？

CVE-2025-24406 是一个路径遍历漏洞，影响 Magento Community Edition 2.4.7-p3 及更早版本，攻击者可能绕过安全限制，修改受限制目录外的文件。

我是否受到 CVE-2025-24406 在 Magento Community Edition 中影响？

如果您正在使用 Magento Community Edition 2.4.7-p3 或更早版本，则您可能受到此漏洞的影响。请立即升级至 2.4.7-p4 或更高版本。

我如何修复 CVE-2025-24406 在 Magento Community Edition 中？

最有效的修复方法是升级至 Magento Community Edition 2.4.7-p4 或更高版本。如果无法立即升级，请考虑实施临时缓解措施，例如配置 Web 服务器限制访问。

CVE-2025-24406 是否正在被积极利用？

虽然目前尚无公开的漏洞利用程序，但由于该漏洞的严重性，预计未来可能会出现。建议密切关注安全社区的动态。

在哪里可以找到官方 Magento 关于 CVE-2025-24406 的公告？

请访问 Magento 安全公告页面，查找有关 CVE-2025-24406 的官方信息：[https://magento.com/security](https://magento.com/security)