Threats
O Centro Nacional de Cibersegurança lançou um alerta para uma vulnerabilidade crítica que permite o acesso a dados e possível execução remota de código no Adobe Commerce e Magento
23/04/2026
|
O Centro Nacional de Cibersegurança (CNCS) emitiu um alerta para uma vulnerabilidade crítica que afeta plataformas Adobe Commerce e Magento Open Source, com potencial impacto elevado na confidencialidade e integridade dos sistemas. A falha, identificada como CVE-2025-54236, resulta de validação incorreta de dados na API REST, especificamente no endpoint ‘/customer/address_file/upload’. O problema reside no componente ServiceInputProcessor, que permite a deserialização de objetos PHP arbitrários. Com um vetor CVSS 3.1 classificado como crítico, a vulnerabilidade pode ser explorada remotamente, sem necessidade de autenticação ou interação do utilizador. O impacto inclui acesso a sessões de clientes e possível comprometimento de dados sensíveis. Em determinados cenários, nomeadamente quando as sessões são armazenadas no sistema de ficheiros (configuração comum) a exploração pode evoluir para execução remota de código (RCE), permitindo controlo total do servidor por parte do atacante. As versões afetadas abrangem múltiplas releases do Adobe Commerce, Adobe Commerce B2B e Magento Open Source, incluindo versões até à 2.4.9-alpha2 e anteriores. O CNCS recomenda a aplicação imediata das atualizações de segurança disponibilizadas pela Adobe, nomeadamente através do boletim APSB25-88. No entanto, a correção disponível resolve apenas a vulnerabilidade de deserialização, não eliminando totalmente o risco associado ao upload arbitrário de ficheiros. Como medidas adicionais, o organismo sugere a implementação de regras de Web Application Firewall (WAF), a monitorização de logs para identificar pedidos suspeitos, a remoção de ficheiros não autorizados e a rotação de credenciais. É ainda recomendada a restrição de acesso ao diretório ‘pub/media/custom_options/’, frequentemente utilizado em explorações, bem como a realização de auditorias para deteção de ficheiros maliciosos. O alerta reforça a importância da gestão proativa de vulnerabilidades em plataformas de comércio eletrónico, especialmente em ambientes expostos à internet e com processamento de dados sensíveis. |
Receba todas as novidades na sua caixa de correio!
NEWS
MITRE lança framework para combate à fraude
ANALYSIS
CNCS lança novo boletim com foco em riscos emergentes de cibersegurança
ITECH
Anthropic lança modelo de IA que pode mudar cibersegurança
THREATS
Medusa explora falhas em horas para ataques
THREATS
Microsoft corrige zero-day no SharePoint
THREATS
Google reforça combate a anúncios maliciosos com IA
THREATS
Chrome corrige 31 falhas críticas de segurança
THREATS
IA agrava riscos na cibersegurança
THREATS
Corrigidas falhas críticas em ISE e Webex
THREATS
Falha crítica explorada ativamente permite controlo de servidores
