Falha nopCommerce permite que invasores acessem contas usando cookies capturados

Falha nopCommerce permite que invasores acessem contas usando cookies capturados

Pesquisadores de segurança descobriram uma vulnerabilidade séria no nopCommerce, uma popular plataforma de comércio eletrônico de código aberto usada por grandes empresas, incluindo MicrosoftVolvo e BMW.

A falha permite que invasores sequestrem contas de usuários explorando cookies de sessão capturados, mesmo depois que usuários legítimos tenham se desconectado.

Campo Detalhes
ID do CVE CVE-2025-11699
Título de vulnerabilidade Invalidação de cookie de sessão insuficiente
Plataforma nopCommerce (ASP.NET Core)
Gravidade Alto

A vulnerabilidade explicada

A vulnerabilidade, rastreada como CVE-2025-11699, decorre da invalidação insuficiente de cookies de sessão no sistema de login do nopCommerce.

Quando os usuários se desconectam, a plataforma não invalida corretamente os cookies de sessão, deixando-os vulneráveis ​​a abusos.

Um invasor que obtém uma sessão válida biscoito pode usá-lo para acessar áreas restritas, incluindo terminais administrativos, muito depois de o usuário original ter feito logout.

O sequestro de sessão por meio do roubo de cookies não é uma ameaça nova, mas continua altamente eficaz. Os invasores normalmente obtêm cookies por meio de ataques de script entre sites (XSS), interceptação de rede ou comprometendo o dispositivo de um usuário.

Uma vez capturados, esses cookies tornam-se mercadorias valiosas vendidas em fóruns clandestinos a outros cibercriminosos.

De acordo com Universidade Carnegie Mellona vulnerabilidade afeta as versões 4.70 e anteriores do nopCommerce, bem como 4.80.3. A plataforma serve como espinha dorsal para inúmeras lojas online em todo o mundo e usa ASP.NET Core e MS SQL Server.

Sua integração com APIs de remessa e redes de distribuição de conteúdo o torna uma peça crítica de infraestrutura para muitas empresas.

A descoberta desta falha é particularmente preocupante porque reflete o CVE-2019-7215. Esta vulnerabilidade semelhante expôs a mesma fraqueza anos atrás.

Isto sugere que foram feitas melhorias de segurança insuficientes nos mecanismos de autenticação da plataforma.

Os cibercriminosos exploram vulnerabilidades de sequestro de sessão para diversos fins. Dados de sessões roubadas têm sido usados ​​para lançar ataques de ransomware, cometer roubo de criptomoedas e realizar transações financeiras não autorizadas.

O mercado clandestino de cookies de sessão roubados permanece ativo, com os criminosos comprando regularmente credenciais de acesso para comprometer contas em grande escala.

Para empresas que executam o nopCommerce, uma única sessão de administrador comprometida poderia conceder aos invasores controle total sobre a plataforma de comércio eletrônico, permitindo-lhes roubar dados de clientes, manipular transações ou implantar malware.

A equipe de desenvolvimento do nopCommerce lançou patches abordando isso vulnerabilidade. Os usuários que executam a versão 4.70 ou posterior, excluindo a versão 4.80.3, estão protegidos.

Aqueles que usam a versão 4.80.3 ou anterior devem atualizar imediatamente para a versão 4.90.3 ou a versão mais recente disponível.

Os administradores de sistema são incentivados a priorizar esta atualização, pois a vulnerabilidade representa ameaças diretas aos dados dos clientes e aos ativos financeiros. O processo de atualização deve ser concluído o mais rápido possível para minimizar a exposição.

Esta descoberta destaca os desafios contínuos na segurança da plataforma de comércio eletrônico. O facto de existir uma vulnerabilidade semelhante em 2019 sugere que os programadores e as empresas podem não estar a abordar adequadamente as melhores práticas de gestão de sessões.

A invalidação adequada de cookies ao sair é um requisito fundamental de segurança que deve ser implementado em todos os sistemas de autenticação.

As organizações que usam o nopCommerce devem realizar uma auditoria de segurança após a atualização para identificar quaisquer atividades suspeitas na conta que possam indicar exploração anterior.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.