三星MagicINFO 9服务器（一款广泛用于管理数字标牌显示器的内容管理系统 (CMS)）中存在一个高危安全漏洞 CVE-2024-7399，该漏洞正被广泛利用。截至2025年5月初，Arctic Wolf 报告了该漏洞的活跃利用情况。

该漏洞允许未经身份验证的用户向服务器写入任意文件。当攻击者利用该漏洞编写特制的 JavaServer Pages (JSP) 文件时，可能会升级为远程代码执行。该问题源于 MagicINFO 设计中的几个缺陷：

它不会验证发出请求的用户是否已经过身份验证。它接受一个文件名并将其直接连接到文件的保存路径。无法验证请求中提供的文件扩展名。

通过结合这些缺陷，攻击者可以上传 JSP 文件并执行任意服务器端代码，而无需有效的用户凭据。

CVE-2024-7399 的根本原因是三星 MagicINFO 9 服务器的输入验证逻辑存在缺陷，导致文件名输入未经过正确过滤。这种过滤机制在未验证文件扩展名或用户身份验证的情况下发生。因此，未经身份验证的攻击者可以上传 JSP 文件，并在存在漏洞的服务器上以系统级权限执行任意代码。

在安全研究人员负责任地披露后，三星最初于 2024 年 8 月披露了该高危漏洞。当时，尚无利用报告。然而，在 2025 年 4 月 30 日发布了一篇包含技术细节和概念验证 (PoC) 漏洞利用的新研究文章后，情况迅速发生了变化。在文章发布后的几天内，就发现了野外利用的情况。

Arctic Wolf 警告称，由于该漏洞的门槛低且 PoC 漏洞已公开，威胁行为者可能会继续利用该漏洞。该公司正在积极监控与 CVE-2024-7399 相关的恶意入侵后活动，并将任何恶意活动通知其托管检测和响应客户。

受影响及修复的版本如下：