三星MagicINFO 9服务器(一款广泛用于管理数字标牌显示器的内容管理系统 (CMS))中存在一个高危安全漏洞 CVE-2024-7399,该漏洞正被广泛利用。截至2025年5月初,Arctic Wolf 报告了该漏洞的活跃利用情况。
该漏洞允许未经身份验证的用户向服务器写入任意文件。当攻击者利用该漏洞编写特制的 JavaServer Pages (JSP) 文件时,可能会升级为远程代码执行。该问题源于 MagicINFO 设计中的几个缺陷:
- 它不会验证发出请求的用户是否已经过身份验证。
- 它接受一个文件名并将其直接连接到文件的保存路径。
- 无法验证请求中提供的文件扩展名。
通过结合这些缺陷,攻击者可以上传 JSP 文件并执行任意服务器端代码,而无需有效的用户凭据。
CVE-2024-7399 的根本原因是三星 MagicINFO 9 服务器的输入验证逻辑存在缺陷,导致文件名输入未经过正确过滤。这种过滤机制在未验证文件扩展名或用户身份验证的情况下发生。因此,未经身份验证的攻击者可以上传 JSP 文件,并在存在漏洞的服务器上以系统级权限执行任意代码。
在安全研究人员负责任地披露后,三星最初于 2024 年 8 月披露了该高危漏洞。当时,尚无利用报告。然而,在 2025 年 4 月 30 日发布了一篇包含技术细节和概念验证 (PoC) 漏洞利用的新研究文章后,情况迅速发生了变化。在文章发布后的几天内,就发现了野外利用的情况。
Arctic Wolf 警告称,由于该漏洞的门槛低且 PoC 漏洞已公开,威胁行为者可能会继续利用该漏洞。该公司正在积极监控与 CVE-2024-7399 相关的恶意入侵后活动,并将任何恶意活动通知其托管检测和响应客户。
受影响及修复的版本如下:
| 产品 | 受影响版本 | 修复版本 |
| 三星MagicINFO 9服务器 | 21.1050 之前 | 21.1050 及更高版本 |
Arctic Wolf 强烈建议用户将三星 MagicINFO 9 Server 升级到最新修复版本,以缓解此漏洞。
发表评论
您还未登录,请先登录。
登录