Documentação

Atualização de segurança disponível para o Adobe Commerce - APSB24-40

Last update: Tue Jul 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Observação: **Esta é uma atualização urgente relacionada ao CVE-2024-34102. A Adobe está ciente de que o CVE-2024-34102 foi explorado na natureza em ataques muito limitados direcionados aos comerciantes do Adobe Commerce.

Em 17 de julho de 2024, lançamos um hotfix, além da versão de atualização de segurança em 11 de junho de 2024, e/ou o patch isolado lançado em 28 de junho de 2024.

Verifique todos os ambientes de produção e não produção para ajudar a garantir que seu armazenamento seja completamente corrigido em todas as instâncias. Tome medidas imediatas para resolver a vulnerabilidade.

Observação: somente para Adobe Commerce em comerciantes da nuvem:

  1. Verifique se você está usando a versão mais recente da ferramenta ECE. Caso contrário, atualize (ou pule para o item 2). Para verificar sua versão existente, execute este comando: composer show magento/ece-tools
  2. Se você já tiver a versão mais recente das Ferramentas ECE, verifique a presença do arquivo op-exclude.txt. Para fazer isso, execute este comando: ls op-exclude.txt. Se esse arquivo não estiver presente, adicione https://github.com/magento/magento-cloud/blob/master/op-exclude.txt ao repositório, confirme a alteração e implante novamente.
  3. Sem precisar atualizar as Ferramentas ECE, você também pode apenas adicionar/modificar https://github.com/magento/magento-cloud/blob/master/op-exclude.txt no repositório e, em seguida, confirmar a alteração e reimplantar.

Opção 1 - Para comerciantes que não aplicaram a atualização de segurança de 11 de junho de 2024, nem o patch isolado lançado em 28 de junho de 2024

  1. Aplicação de hotfix lançado em 17 de julho de 2024.
  2. Aplique o patch de segurança.
  3. Ativar modo de manutenção.
  4. Desabilite a execução do cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  5. Girar suas chaves de criptografia.
  6. Limpe o cache.
  7. Habilitar execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  8. Desabilitar modo de manutenção.

OU

  1. Aplique o patch isolado. Observação: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.
  2. Ativar modo de manutenção.
  3. Desabilite a execução do cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  4. Girar suas chaves de criptografia.
  5. Limpe o cache.
  6. Habilitar execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Desabilitar modo de manutenção.

Opção 2 - Para comerciantes que já aplicaram a atualização de segurança de 11 de junho de 2024 e/ou o patch isolado lançado em 28 de junho de 2024

  1. Aplicação de hotfix lançado em 17 de julho de 2024.
  2. Ativar modo de manutenção.
  3. Desabilite a execução do cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  4. Girar suas chaves de criptografia.
  5. Limpe o cache.
  6. Habilitar execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  7. Desabilitar modo de manutenção.

Opção 3 - Para comerciantes que já (1) aplicaram a atualização de segurança de 11 de junho de 2024 e/ou (2) o patch isolado lançado em 28 de junho de 2024 e (3) giraram suas chaves de criptografia

  • Aplique o hotfix lançado em 17 de julho de 2024.

Observação: para garantir que você ainda esteja seguro após a atualização, você também deve girar suas chaves de criptografia:

  1. Ativar modo de manutenção.
  2. Desabilite a execução do cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:disable).
  3. Gire suas chaves de criptografia.
  4. Habilitar execução de cron (comando Commerce on Cloud: vendor/bin/ece-tools cron:enable).
  5. Desabilitar modo de manutenção.

Neste artigo, você descobrirá como implementar o patch isolado para esse problema nas versões atual e anterior do Adobe Commerce e do Magento Open Source.

Observação: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.

Descrição description

Produtos e versões afetados

Adobe Commerce na nuvem, Adobe Commerce no local e Magento Open Source:

  • 2.4.7-p1 e anterior
  • 2.4.6-p6 e anterior
  • 2.4.5-p8 e anterior
  • 2.4.4-p9 e anterior

Resolução resolution

Solução para Adobe Commerce na nuvem, software Adobe Commerce no local e Magento Open Source

Para ajudar a resolver a vulnerabilidade dos produtos e versões afetados, você deve aplicar o patch VULN-27015 (dependendo da sua versão) e girar suas chaves de criptografia.

Detalhes do Hotfix

Detalhes do patch isolado

Observação: esta versão do patch isolado contém o hotfix de 17 de julho de 2024.

Use os seguintes patches anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:

Para a versão 2.4.7:

Para as versões 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Para as versões 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Para as versões 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Como aplicar o patch isolado e o hotfix

Descompacte o arquivo e veja Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.

Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados

Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se o patch isolado do VULN-27015 foi aplicado com sucesso.

Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:

  1. Instale a Ferramenta de Patches de Qualidade.

  2. Execute o comando: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. Você deve ver uma saída semelhante a esta, em que VULN-27015 retorna a variável  Status de Aplicado:

    table 0-row-6 1-row-6
    ID Título Categoria Origem Status Detalhes
    N/D …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Outro Local Aplicado Tipo de patch: personalizado

Girar/alterar a chave de criptografia após aplicar o patch

Para orientação sobre como girar/alterar a chave de criptografia após aplicar o patch, consulte Guia de sistemas do administrador: chave de criptografia na documentação do Guia de Sistemas do Administrador do Commerce.

Orientação adicional sobre proteção do armazenamento e rotação de chaves de criptografia

Para obter orientações adicionais sobre como proteger seu armazenamento e girar chaves de criptografia em relação ao CVE-2024-34102, consulte Orientação sobre como proteger seu armazenamento e girar chaves de criptografia: CVE-2024-34102, também na Base de Dados de Conhecimento Adobe Commerce.

Atualizações de segurança

Atualizações de segurança disponíveis para o Adobe Commerce:

Leitura relacionada

Habilite ou desabilite o modo de manutenção no Guia de Instalação do Adobe Commerce

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f