CVE-2024-34102 é uma vulnerabilidade de segurança crítica que afeta as versões 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 e anteriores do Adobe Commerce e Magento Open Source. Esta falha é classificada como uma vulnerabilidade de Referência Externa de Entidade XML Impropriamente Restrita (XXE). Com uma pontuação CVSS de 9.8, com um impacto severo.
Detalhes Técnicos
A vulnerabilidade surge devido ao manuseio inadequado de referências de entidades externas XML nas versões afetadas. Um atacante pode explorar essa vulnerabilidade enviando um documento XML especialmente criado que referencia entidades externas. Isso pode levar à execução arbitrária de código no servidor sem necessidade de qualquer interação do usuário, o que aumenta significativamente o perfil de risco desta falha.
Impacto
Quando o ataque CVE-2024-34102 é bem-sucedida pode resultar em:
- Execução arbitrária de código
- Exposição de dados
- Potencial exposição total do sistema
Dada a sua natureza crítica, essa vulnerabilidade representa um risco significativo para plataformas de comércio eletrónico que utilizam as versões afetadas do Adobe Commerce e Magento.
Versões Afetadas
As seguintes versões estão vulneráveis:
- Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 e anteriores.
Mitigação
Para mitigar esta vulnerabilidade, é crucial atualizar para as versões corrigidas:
- Adobe Commerce 2.4.6-p6
- Adobe Commerce 2.4.5-p8
- Adobe Commerce 2.4.4-p9
Atualizações e patches regulares são essenciais para proteger os sistemas contra tais vulnerabilidades. Não há solução alternativa conhecida além de aplicar os patches necessários.