CVE-2024-7399:三星 MagicINFO 漏洞目前正被广泛利用

阅读量5876

发布时间 : 2025-05-06 14:44:20

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-7399-samsung-magicinfo-vulnerability-now-actively-exploited-in-the-wild/

译文仅供参考,具体内容表达以及含义原文为准。

三星MagicINFO,远程代码执行

三星MagicINFO 9服务器(一款广泛用于管理数字标牌显示器的内容管理系统 (CMS))中存在一个高危安全漏洞 CVE-2024-7399,该漏洞正被广泛利用。截至2025年5月初,Arctic Wolf 报告了该漏洞的活跃利用情况。

漏洞允许未经身份验证的用户向服务器写入任意文件。当攻击者利用该漏洞编写特制的 JavaServer Pages (JSP) 文件时,可能会升级为远程代码执行。该问题源于 MagicINFO 设计中的几个缺陷:

  • 它不会验证发出请求的用户是否已经过身份验证。
  • 它接受一个文件名并将其直接连接到文件的保存路径。
  • 无法验证请求中提供的文件扩展名。

通过结合这些缺陷,攻击者可以上传 JSP 文件并执行任意服务器端代码,而无需有效的用户凭据。

CVE-2024-7399 的根本原因是三星 MagicINFO 9 服务器的输入验证逻辑存在缺陷,导致文件名输入未经过正确过滤。这种过滤机制在未验证文件扩展名或用户身份验证的情况下发生。因此,未经身份验证的攻击者可以上传 JSP 文件,并在存在漏洞的服务器上以系统级权限执行任意代码。

在安全研究人员负责任地披露后,三星最初于 2024 年 8 月披露了该高危漏洞。当时,尚无利用报告。然而,在 2025 年 4 月 30 日发布了一篇包含技术细节和概念验证 (PoC) 漏洞利用的新研究文章后,情况迅速发生了变化。在文章发布后的几天内,就发现了野外利用的情况。

Arctic Wolf 警告称,由于该漏洞的门槛低且 PoC 漏洞已公开,威胁行为者可能会继续利用该漏洞。该公司正在积极监控与 CVE-2024-7399 相关的恶意入侵后活动,并将任何恶意活动通知其托管检测和响应客户。

受影响及修复的版本如下:

产品 受影响版本 修复版本
三星MagicINFO 9服务器 21.1050 之前 21.1050 及更高版本

Arctic Wolf 强烈建议用户将三星 MagicINFO 9 Server 升级到最新修复版本,以缓解此漏洞。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66