CVE-2024-34102

As versões 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 e anteriores do Adobe Commerce estão afetadas.

O Adobe Commerce e o Magento Open Source são afetados por uma vulnerabilidade de restrição inadequada de referência a entidade externa XML (XXE). Esse problema pode permitir que um invasor execute código arbitrário enviando um documento XML malicioso que faça referência a entidades externas. A vulnerabilidade está sendo explorada ativamente, com relatos indicando que mais de 4.000 lojas foram comprometidas e aproximadamente 5% das lojas do Adobe Commerce e do Magento foram afetadas. Vários agentes maliciosos estão explorando ativamente essa falha, injetando scripts maliciosos. A vulnerabilidade permite que invasores roubem dados e potencialmente comprometam chaves criptográficas usadas para autenticação. O arquivo app/etc/env.php, que contém chaves criptográficas confidenciais, fica potencialmente exposto por meio da exploração. A vulnerabilidade não requer interação do usuário para ser explorada.

Atualize para uma versão posterior à 2.4.7-p1 para corrigir essa vulnerabilidade.