# CVE-2025-32976 > [!medium] IDOR no NetSuite SuiteCommerce - Acesso a Dados de Outros Usuários > Vulnerabilidade de controle de acesso insuficiente (IDOR) no NetSuite SuiteCommerce permite que usuários autenticados acessem dados de outros usuários/clientes, parte do conjunto CVE-2025-3297x que expõe o ERP a múltiplos vetores de ataque. ## Visão Geral A [[cve-2025-32976|CVE-2025-32976]] é a terceira vulnerabilidade de um conjunto que afeta o **NetSuite SuiteCommerce/SiteBuilder**, representando uma falha de **controle de acesso** (IDOR - Insecure Direct Object Reference). Um usuário autenticado com baixos privilégios pode explorar esta falha para acessar dados pertencentes a outros usuários ou clientes da plataforma. Esta vulnerabilidade, combinada com [[cve-2025-32977|CVE-2025-32977]] (disclosure não autenticado) e [[cve-2025-32978|CVE-2025-32978]] (SQL injection admin), representa um conjunto abrangente de falhas na mesma plataforma. Para organizações que hospedam lojas B2B ou B2C no NetSuite, um IDOR pode expor dados de pedidos, histórico de compras e informações de faturamento de outros clientes - impacto direto sobre privacidade e conformidade LGPD. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | IDOR - Insecure Direct Object Reference | | Componente | NetSuite SuiteCommerce APIs | | Vetor | Rede - requer conta de usuário | | Impacto | Acesso a dados de outros clientes/usuários | | CVEs relacionadas | CVE-2025-32977, CVE-2025-32978 | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1078-valid-accounts\|T1078]] | Conta de usuário legítima como pré-requisito | | [[t1213-data-from-information-repositories\|T1213]] | Extração de dados de clientes via IDOR | | [[t1592-gather-victim-host-information\|T1592]] | Enumeração de estrutura de dados da plataforma | ## Detecção e Defesa **Mitigações:** - Aplicar patch Oracle NetSuite de março/2025 - [[m1051-update-software\|M1051]] - Atualização NetSuite urgente - [[m1018-user-account-management\|M1018]] - Revisar controles de acesso em APIs do SuiteCommerce - Auditar logs de API para acessos cruzados entre contas de usuários - Implementar rate limiting em endpoints de consulta de dados de usuário > [!latam] Relevância para Brasil e LATAM > Para empresas brasileiras com e-commerce B2B no NetSuite, esta vulnerabilidade pode expor dados sensíveis de clientes corporativos a concorrentes ou parceiros mal-intencionados. Sob a LGPD, o acesso não autorizado a dados pessoais de outros usuários configura incidente de segurança com potencial obrigação de notificação à ANPD dentro de 72 horas. ## Referências - [Oracle Security Alert - NetSuite](https://www.oracle.com/security-alerts/) - [NVD - CVE-2025-32976](https://nvd.nist.gov/vuln/detail/CVE-2025-32976)