Adobe Commerce (Magento) 严重漏洞分析：CVE-2024-34102 与 CVE-2024-2961 (CosmicSting)<\/h1>

漏洞概述<\/h2>

CosmicSting 是由两个关键漏洞组成的组合攻击链：<\/p>

CVE-2024-34102<\/strong> - 目录遍历漏洞（严重性评分9.1）<\/li>

CVE-2024-2961<\/strong> - 服务器端模板注入(SSTI)漏洞（严重性评分8.8）<\/li> <\/ol>
这两个漏洞结合使用可实现远程代码执行(RCE)，影响Adobe Commerce (Magento) 2.4.6及更早版本，赏金高达$9000。<\/p>
技术细节<\/h2>
CVE-2024-34102: 目录遍历漏洞<\/h3>
漏洞位置<\/strong>：vendor\/magento\/framework\/Archive\/Helper\/File.php<\/code>中的getRealPath()<\/code>方法<\/p>
漏洞代码<\/strong>：<\/p>
protected<\/span> function<\/span> getRealPath<\/span>($filePath) <\/span><\/span>{ <\/span><\/span> $filePath =<\/span> str_replace<\/span>('\\'<\/span>, '\/'<\/span>, $filePath); <\/span><\/span> $filePath =<\/span> $this-><\/span>removeSignificantTrailingSlash<\/span>($filePath); <\/span><\/span> <\/span><\/span> \/\/ 漏洞点：未正确验证路径 <\/span><\/span><\/span><\/span> $realPath =<\/span> realpath<\/span>($filePath); <\/span><\/span> <\/span><\/span> return<\/span> $realPath ?:<\/span> $filePath; <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p> 攻击者可以控制文件路径参数<\/li> 系统未正确限制对敏感目录的访问<\/li> <\/ul> 影响<\/strong>：<\/p> 读取任意文件（包括配置文件、数据库凭证等）<\/li> 为后续SSTI攻击提供必要信息<\/li> <\/ul> CVE-2024-2961: SSTI漏洞<\/h3> 漏洞位置<\/strong>：模板渲染过程中的eval()<\/code>调用<\/p> 利用前提<\/strong>：<\/p> 通过CVE-2024-34102获取env.php<\/code>配置文件<\/li> 从中提取加密密钥和数据库凭证<\/li> <\/ol> 攻击流程<\/strong>：<\/p> 构造恶意模板注入payload<\/li> 通过特定API端点触发模板渲染<\/li> 系统在渲染过程中执行恶意代码<\/li> <\/ol> 示例payload<\/strong>：<\/p> {{7*7}} \/\/ 测试用简单payload {{self.__init__.__globals__.__builtins__.__import__('os').popen('id').read()}} \/\/ RCE payload <\/code><\/pre> 利用步骤<\/h2> 阶段1：信息收集<\/h3> 使用CVE-2024-34102读取app\/etc\/env.php<\/code>： GET \/path\/to\/vulnerable\/endpoint?file=..\/..\/..\/..\/app\/etc\/env.php <\/code><\/pre> <\/li> 从配置文件中提取：加密密钥<\/li> 数据库凭证<\/li> 系统路径信息<\/li> <\/ul> <\/li> <\/ol> 阶段2：SSTI利用<\/h3> 构造包含恶意代码的模板<\/li> 通过以下方式之一触发渲染：特定API调用<\/li> 管理员功能滥用<\/li> 缓存机制操纵<\/li> <\/ul> <\/li> <\/ol> 阶段3：建立持久化访问<\/h3> 上传Web shell<\/li> 创建后门账户<\/li> 修改系统配置<\/li> <\/ol> 影响范围<\/h2> 受影响版本<\/strong>：<\/p> Adobe Commerce (Magento) 2.4.6及更早版本<\/li> Magento Open Source 2.4.6及更早版本<\/li> <\/ul> 潜在影响<\/strong>：<\/p> 完全接管电子商务网站<\/li> 客户数据泄露（PII、支付信息）<\/li> 供应链攻击（修改产品信息、价格）<\/li> <\/ul> 缓解措施<\/h2> 临时解决方案<\/h3> 限制对敏感端点的访问<\/li> 实施严格的输入验证<\/li> 监控可疑的文件读取尝试<\/li> <\/ol> 永久修复<\/h3> Adobe已发布安全补丁，建议用户立即升级至：<\/p> Adobe Commerce 2.4.7或更高版本<\/li> Magento Open Source 2.4.7或更高版本<\/li> <\/ul> 检测方法<\/h2> 日志检查<\/h3> 查找异常的env.php<\/code>读取请求<\/li> 监控模板渲染过程中的异常行为<\/li> <\/ol> 文件系统检查<\/h3> 验证vendor\/magento\/framework\/Archive\/Helper\/File.php<\/code>的修改时间<\/li> 检查是否有未知模板文件<\/li> <\/ol> 参考链接<\/h2> 官方安全公告<\/a><\/li> Sansec研究报告<\/a><\/li> CVE-2024-34102详情<\/a><\/li> CVE-2024-2961详情<\/a><\/li> <\/ul> 漏洞赏金信息<\/h2> 组合漏洞赏金：$9000<\/li> 报告平台：Adobe Bug Bounty Program<\/li> 严重性等级：Critical<\/li> <\/ul>