Référence du bulletin
Dernière mise à jour le
25 mars 2026
Mise à jour de sécurité disponible pour Adobe Commerce | APSB26-05
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB26-05 |
10 mars 2026 |
2 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités est susceptible d’entraîner l’exécution de code arbitraire, le contournement de fonctions de sécurité et la réaffectation de privilèges.
Adobe n’a pas connaissance d’exploitations dans la nature des problèmes traités dans ces mises à jour.
Versions concernées
| Produit | Version | Priorité | Plate-forme |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 et antérieures 2.4.8-p3 et antérieures 2.4.7-p8 et antérieures 2.4.6-p13 et antérieures 2.4.5-p15 et antérieures 2.4.4-p16 et antérieures |
2 | Toutes |
| Adobe Commerce B2B |
1.5.3-alpha3 et versions antérieures 1.5.2-p3 et antérieures 1.4.2-p8 et antérieures 1.3.5-p13 et antérieures 1.3.4-p15 et antérieures 1.3.3-p16 et antérieures |
2 | Toutes |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 et antérieures 2.4.7-p8 et antérieures 2.4.6-p13 et antérieures 2.4.5-p15 et antérieures |
2 | Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
| Produit | Mise à jour | Plate-forme | Priorité | Instructions d’installation |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 pour 2.4.9‑alpha3 2.4.8‑p4 pour 2.4.8‑p3 et versions antérieures 2.4.7‑p9 pour 2.4.7‑p8 et versions antérieures 2.4.6‑p14 pour 2.4.6‑p13 et versions antérieures 2.4.5‑p16 pour 2.4.5‑p15 et versions antérieures 2.4.4‑p17 pour 2.4.4‑p16 et versions antérieures |
Toutes | 2 | Notes de mise à jour 2.4.x |
| Adobe Commerce B2B | 1.5.3‑beta1 pour 1.5.3‑alpha3 1.5.2‑p4 pour 1.5.2‑p3 et versions antérieures 1.4.2‑p9 pour 1.4.2‑p8 et versions antérieures 1.3.5‑p14 pour 1.3.5‑p13 et versions antérieures 1.3.4‑p16 pour 1.3.4‑p15 et versions antérieures 1.3.3‑p17 pour 1.3.3‑p16 et versions antérieures |
Toutes | 2 | |
| Magento Open Source | 2.4.9-beta1 pour 2.4.9-beta3 2.4.8-p4 pour 2.4.8-p3 et versions antérieures 2.4.7-p9 pour 2.4.7-p8 et versions antérieures 2.4.6-p14 pour 2.4.6-p13 et versions antérieures 2.4.5-p16 pour 2.4.5-p15 et versions antérieures |
Toutes | 2 | Notes de mise à jour sur 2.4.9-beta1 |
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Authentification requise pour l’exploitation ? | L’exploit nécessite des droits d’administrateur ? |
Score de base CVSS |
Vecteur CVSS |
Numéro(s) CVE | Remarques |
|---|---|---|---|---|---|---|---|---|
| Cross-site scripting (XSS stocké) (CWE-79) | Réaffectation de privilèges | Critique | Oui | Oui | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Cross-site scripting (XSS stocké) (CWE-79) | Réaffectation de privilèges | Critique | Oui | Oui | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Critique | Oui | Non | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Cross-site scripting (XSS stocké) (CWE-79) | Réaffectation de privilèges | Critique | Oui | Oui | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Cross-site scripting (XSS stocké) (CWE-79) | Réaffectation de privilèges | Critique | Oui | Non | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Autorisation incorrecte (CWE-863) | Réaffectation de privilèges | Critique | Oui | Non | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Cross-site scripting (XSS stocké) (CWE-79) | Exécution de code arbitraire | Importante | Oui | Oui | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Cross-site scripting (XSS stocké) (CWE-79) | Exécution de code arbitraire | Importante | Oui | Oui | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Usurpation de requête côté serveur (SSRF) (CWE-918) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Usurpation de requête côté serveur (SSRF) (CWE-918) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Oui | Non | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Limitation incorrecte d’un nom de chemin d’accès à un répertoire restreint (Path Traversal) (CWE-22) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Validation d’entrée incorrecte (CWE-20) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Validation d’entrée incorrecte (CWE-20) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| Redirection d’URL vers un site non fiable (redirection ouverte) (CWE-601) | Contournement des fonctions de sécurité | Modérée | Oui | Non | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Remarque :
Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.
L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn -- CVE-2026-21359
- icare -- CVE-2026-21360
REMARQUE : Adobe dispose d’un programme public de prime aux bogues avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur externe en sécurité, rendez-vous sur https://hackerone.com/adobe.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?