Plataforma
adobe
Componente
adobe-commerce
Corrigido em
3.2.6
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada em versões do Adobe Commerce de 0 até 3.2.5. Essa falha permite que um atacante, mesmo com privilégios limitados, envie requisições maliciosas a partir do servidor vulnerável para sistemas internos, potencialmente contornando medidas de segurança como firewalls. A correção para esta vulnerabilidade está disponível na versão 3.2.6.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir dados confidenciais armazenados em bancos de dados internos, APIs de gerenciamento ou outros serviços que não estão expostos diretamente à internet. Um atacante poderia, por exemplo, escanear a rede interna em busca de outros sistemas vulneráveis ou obter informações sensíveis sobre a infraestrutura da empresa. A ausência de interação do usuário torna a exploração mais fácil e potencialmente mais ampla, pois não depende de ações específicas do usuário para ser iniciada.
A vulnerabilidade foi publicada em 2024-11-12. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. É recomendável monitorar as fontes de inteligência de ameaças para atualizações sobre a exploração desta vulnerabilidade.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations, particularly those with complex internal network architectures and sensitive data stored on internal systems, are at heightened risk. Shared hosting environments utilizing Adobe Commerce are also vulnerable, as a compromised tenant could potentially exploit the SSRF vulnerability to access resources belonging to other tenants.
• adobe: Examine Adobe Commerce access logs for unusual outbound requests to internal IP addresses or services.
grep -i 'internal_ip_address' /var/log/apache2/access.log• generic web: Use curl to test for SSRF by attempting to access internal resources through the Adobe Commerce application.
curl -v http://<adobe_commerce_server>/internal_resource• generic web: Check response headers for clues of internal redirects or server information.
curl -I http://<adobe_commerce_server>disclosure
Status do Exploit
EPSS
0.32% (percentil 55%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 3.2.6 do Adobe Commerce. Se a atualização não for possível no momento, considere implementar medidas de segurança adicionais, como restringir o acesso de rede do servidor Adobe Commerce a apenas os recursos internos necessários. Implementar regras de firewall para bloquear requisições para endereços IP e domínios internos suspeitos pode ajudar a reduzir o impacto potencial. Além disso, revise e reforce as políticas de segurança de rede para garantir que o tráfego interno seja devidamente segmentado e monitorado.
Atualize o Adobe Commerce para uma versão posterior à 3.2.5 para corrigir a vulnerabilidade SSRF. Consulte o boletim de segurança da Adobe (APSB24-90) para obter mais detalhes e instruções específicas sobre a atualização. É recomendável aplicar a atualização o mais rápido possível para evitar possíveis ataques.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-49521 é uma vulnerabilidade SSRF (Server-Side Request Forgery) que permite a um atacante enviar requisições para sistemas internos, contornando firewalls, afetando o Adobe Commerce.
Se você estiver utilizando Adobe Commerce nas versões de 0 a 3.2.5, você está afetado por esta vulnerabilidade.
A correção é atualizar para a versão 3.2.6 do Adobe Commerce. Se a atualização imediata não for possível, implemente medidas de mitigação como restrições de rede e firewall.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas é recomendável monitorar as fontes de inteligência de ameaças.
Consulte o site oficial do Adobe Security Advisories para obter informações detalhadas e o advisory oficial: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.