# CVE-2025-32977 > [!medium] Divulgação de Informações no NetSuite SuiteCommerce > Vulnerabilidade de divulgação de informações no NetSuite SuiteCommerce que permite acesso não autenticado a dados sensíveis da plataforma, fazendo parte de um conjunto de CVEs (com 32978 e 32976) que expõem a superfície de ataque do ERP em nuvem. ## Visão Geral A [[cve-2025-32977|CVE-2025-32977]] é uma vulnerabilidade de **divulgação de informações** no **NetSuite SuiteCommerce/SiteBuilder**, que permite que atacantes não autenticados acessem informações sensíveis sobre a configuração e dados da plataforma ERP. Esta CVE é parte de um conjunto de três vulnerabilidades relacionadas (com [[cve-2025-32978|CVE-2025-32978]] e [[cve-2025-32976|CVE-2025-32976]]) que afetam o mesmo produto. A divulgação de informações sem autenticação em uma plataforma ERP/e-commerce pode revelar dados de configuração, estrutura de endpoints internos ou metadados de clientes - informações valiosas para ataques subsequentes mais sofisticados. O NetSuite é especialmente sensível dado que armazena dados financeiros e de clientes de organizações inteiras. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Information Disclosure | | Componente | NetSuite SuiteCommerce / SiteBuilder | | Vetor | Rede - sem autenticação | | Impacto | Exposição de dados de configuração e clientes | | CVEs relacionadas | CVE-2025-32978 (SQLi), CVE-2025-32976 | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1592-gather-victim-host-information\|T1592]] | Coleta de informações de configuração NetSuite | | [[t1190-exploit-public-facing-application\|T1190]] | Acesso a endpoints NetSuite vulneráveis | | [[t1213-data-from-information-repositories\|T1213]] | Extração de dados de repositório ERP | ## Detecção e Defesa **Mitigações:** - Aplicar atualização de segurança Oracle NetSuite de março/2025 - [[m1051-update-software\|M1051]] - Atualizar NetSuite para versão corrigida - [[m1030-network-segmentation\|M1030]] - Restringir acesso ao NetSuite por IP corporativo - Monitorar tentativas de acesso a endpoints administrativos sem autenticação - Auditar dados expostos na interface pública do SuiteCommerce > [!latam] Relevância para Brasil e LATAM > Empresas de e-commerce e varejo no Brasil que utilizam NetSuite SuiteCommerce podem ter dados de clientes e informações de pedidos expostas via esta vulnerabilidade. Em contexto de conformidade com a LGPD, exposição de dados de clientes sem autenticação pode resultar em obrigações de notificação à ANPD e sanções regulatórias, além do risco operacional. ## Referências - [Oracle Security Alert - NetSuite](https://www.oracle.com/security-alerts/) - [NVD - CVE-2025-32977](https://nvd.nist.gov/vuln/detail/CVE-2025-32977)