Bulletin-ID
Zuletzt aktualisiert am
21. Mai 2026
Sicherheits-Update für Adobe Commerce verfügbar | APSB26-49
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB26-49 |
12. Mai 2026 |
2 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische, wichtige und moderate Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Codeausführung, zu willkürlichen Dateisystemschreibvorgängen, zu Denial-of-Service der Anwendung und zur Umgehung von Sicherheitsfunktionen führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Prioritätseinstufung | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 und früher 2.4.7-p9 und früher 2.4.6-p14 und früher 2.4.5-p16 und früher 2.4.4-p17 und früher |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 und früher 1.4.2-p9 und früher 1.3.4-p16 und früher 1.3.3-p17 und früher |
2 | Alle |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 und früher 2.4.7-p9 und früher 2.4.6-p14 und früher |
2 | Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Alle | 2 | 2.4.x – Versionshinweise |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Alle | 2 | 2.4.x – Versionshinweise |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Alle | 2 | 2.4.x – Versionshinweise |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Kritisch | Nein | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Kritisch | Nein | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Umgehung der Sicherheitsfunktionen | Kritisch | Nein | Ja | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Unkontrollierter Ressourcenverbrauch (CWE-400) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Unkontrollierter Ressourcenverbrauch (CWE-400) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Unkontrollierter Ressourcenverbrauch (CWE-400) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Unkontrollierter Ressourcenverbrauch (CWE-400) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Abhängigkeit von anfälliger Drittanbieter-Komponente (CWE-1395) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Willkürlicher Dateisystem-Schreibzugriff | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Abhängigkeit von anfälliger Drittanbieter-Komponente (CWE-1395) | Denial-of-Service-Angriff auf Anwendungsebene | Wichtig | Ja | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Unzulässige Autorisierung (CWE-285) | Umgehung der Sicherheitsfunktionen | wichtig | Nein | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Unangemessene Eingabevalidierung (CWE-20) | Willkürliche Codeausführung | Mittel | Ja | Ja | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, besuchen Sie bitte https://hackerone.com/adobe.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
