Plataforma
adobe
Componente
adobe-commerce
Corregido en
3.2.6
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en Adobe Commerce versiones 0 hasta 3.2.5. Esta falla permite a un atacante enviar solicitudes maliciosas desde el servidor vulnerable a sistemas internos, lo que podría resultar en la elusión de medidas de seguridad como firewalls. La actualización a la versión 3.2.6 resuelve esta vulnerabilidad.
La vulnerabilidad SSRF en Adobe Commerce permite a un atacante, incluso con privilegios limitados, enviar solicitudes HTTP arbitrarias desde el servidor de Adobe Commerce a otros sistemas internos. Esto puede ser utilizado para acceder a recursos protegidos, leer datos confidenciales o incluso ejecutar comandos en sistemas internos si estos no están adecuadamente protegidos. Un escenario de ataque podría implicar la lectura de archivos de configuración internos, la enumeración de servicios internos o la explotación de otras vulnerabilidades en sistemas internos a través de la elusión del firewall. La falta de interacción del usuario simplifica la explotación, aumentando el riesgo de ataques automatizados.
Esta vulnerabilidad fue publicada el 12 de noviembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de SSRF y la falta de interacción del usuario la convierten en un objetivo atractivo. Es recomendable monitorear los sistemas Adobe Commerce para detectar cualquier actividad sospechosa. La vulnerabilidad no figura en el KEV de CISA al momento de esta redacción.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.
• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.
grep -i 'internal_ip_address' /var/log/apache2/access.log• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.
curl -v http://<adobe_commerce_server>/internal_resource• generic web: Check response headers for clues of internal redirects or server information.
curl -I http://<adobe_commerce_server>disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Adobe Commerce a la versión 3.2.6 o superior, donde la falla ha sido corregida. Si la actualización inmediata no es posible, considere implementar reglas de firewall para restringir las solicitudes salientes del servidor de Adobe Commerce a dominios y direcciones IP confiables. Además, revise y fortalezca la seguridad de los sistemas internos que podrían ser accesibles a través de esta vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando los registros de acceso y buscando intentos de solicitudes a recursos internos no autorizados.
Actualice Adobe Commerce a una versión posterior a la 3.2.5 para corregir la vulnerabilidad SSRF. Consulte el boletín de seguridad de Adobe (APSB24-90) para obtener más detalles e instrucciones específicas sobre la actualización. Se recomienda aplicar la actualización lo antes posible para evitar posibles ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-49521 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en Adobe Commerce versiones 0–3.2.5 que permite a atacantes enviar solicitudes a sistemas internos, eludiendo firewalls.
Si está utilizando Adobe Commerce en versiones 0–3.2.5, es vulnerable. Actualice a la versión 3.2.6 para eliminar la vulnerabilidad.
La solución es actualizar Adobe Commerce a la versión 3.2.6 o superior. Si la actualización no es posible, implemente reglas de firewall restrictivas.
No se ha reportado explotación activa a la fecha, pero la naturaleza de SSRF la hace un objetivo potencial.
Consulte la página de seguridad de Adobe Commerce para obtener información oficial: [https://helpx.adobe.com/commerce/security-advisories.html](https://helpx.adobe.com/commerce/security-advisories.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.