ALERTA 27/2024 CTIR Gov: Vulnerabilidade crítica em produtos Adobe

outubro 25, 2024

1. A empresa Adobe publicou atualizações de segurança para correção de vulnerabilidades críticas dos produtos Adobe Commerce. A falha no controle de referência externa do XML, se explorada por agentes maliciosos, permite execução arbitrária de códigos e afetam os seguintes produtos:

Adobe Commerce versão 2.4.7 e anteriores;
Adobe Commerce versão 2.4.6-p5 e anteriores;
Adobe Commerce versão 2.4.5-p7 e anteriores;
Adobe Commerce versão 2.4.4-p8 e anteriores;
Adobe Commerce versão 2.4.3-ext-7 e anteriores;
Adobe Commerce versão 2.4.2-ext-7 e anteriores;
Magento Open Source versão 2.4.7 e anteriores;
Magento Open Source versão 2.4.6-p5 e anteriores;
Magento Open Source versão 2.4.5-p7 e anteriores;
Magento Open Source versão 2.4.4-p8 e anteriores; e
Adobe Commerce Webhooks Plugin versão 1.2.0 a 1.4.0

2. A empresa publicou o Boletim de Segurança Adobe APSB24-40 com informações sobre medidas de resolução do caso e a falha foi catalogada na CVE-2024-34102, mais informações em:

3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições aderentes à Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) e demais entidades/instituições que identifiquem em seus inventários de ativos a existência dos produtos vulneráveis e apliquem as correções disponibilizadas pelo desenvolvedor.

4. O CTIR Gov ressalta que, de acordo com os artigo 12, inciso IX, do Decreto Nº 10.748, de 16 de julho de 2021, os órgãos pertencentes à ReGIC devem “sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações”, conforme publicado em:

https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2021/decreto/d10748.htm

5. Informações sobre a Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC):

6. Informações sobre o Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST):