Bulletin de sécurité Adobe

Rechercher

Mise à jour de sécurité disponible pour Adobe Commerce | APSB26-49

Référence du bulletin

Date de publication

Priorité

APSB26-49

12 mai 2026

2

Récapitulatif

Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités est susceptible d’entraîner l’exécution de code arbitraire, l'écriture sur le système de fichier arbitraire, le déni de service sur des applications et le contournement de fonctions de sécurité.

Adobe n’a pas connaissance d’exploitations dans la nature des problèmes traités dans ces mises à jour.

Versions concernées

Produit Version Priorité Plate-forme
 Adobe Commerce

2.4.9-beta1

2.4.8-p4 et antérieures

2.4.7-p9 et antérieures

2.4.6-p14 et antérieures

2.4.5-p16 et antérieures

2.4.4-p17 et antérieures

 2 Toutes
Adobe Commerce B2B

1.5.3-beta1

1.5.2-p4 et antérieures

1.4.2-p9 et antérieures

1.3.4-p16 et antérieures

1.3.3-p17 et antérieures

 2 Toutes
Magento Open Source

2.4.9-beta1

2.4.8-p4 et antérieures

2.4.7-p9 et antérieures

2.4.6-p14 et antérieures

 2 Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

Produit Mise à jour Plate-forme Priorité Instructions d’installation
Adobe Commerce

2.4.9

2.4.8-p5

2.4.7-p10

2.4.6-p15

2.4.5-p17

2.4.4-p18

 Toutes 2 Notes de mise à jour 2.4.x
Adobe Commerce B2B

1.5.3

1.5.2-p5

1.4.2-p10

1.3.4-p17

1.3.3-p18

 Toutes 2 Notes de mise à jour 2.4.x
Magento Open Source

2.4.9

2.4.8-p5

2.4.7-p10

2.4.6-p15

 Toutes 2 Notes de mise à jour 2.4.x

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Authentification requise pour l’exploitation ? L’exploit nécessite des droits d’administrateur ?
 Score de base CVSS
 Vecteur CVSS
 Numéro(s) CVE Remarques
Autorisation incorrecte (CWE-863) Contournement des fonctions de sécurité Critique Non Oui 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2026-34645  
Autorisation incorrecte (CWE-863) Contournement des fonctions de sécurité Critique Non Oui 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2026-34646  
Usurpation de requête côté serveur (SSRF) (CWE-918) Contournement des fonctions de sécurité Critique Non Oui 7.4 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N CVE-2026-34647  
Consommation incontrôlée de ressources (CWE-400) Déni de service d’application Critique Non Non 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34648  
Consommation incontrôlée de ressources (CWE-400) Déni de service d’application Critique Non Non 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34649  
Consommation incontrôlée de ressources (CWE-400) Déni de service d’application Critique Non Non 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34650  
Consommation incontrôlée de ressources (CWE-400) Déni de service d’application Critique Non Non 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34651  
Dépendance à un composant tiers vulnérable (CWE-1395) Déni de service d’application Critique Non Non 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34652  
Cross-site scripting (XSS stocké) (CWE-79) Exécution de code arbitraire Critique Oui Oui 8.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2026-34686  
Limitation incorrecte d’un nom de chemin d’accès à un répertoire restreint (Path Traversal) (CWE-22) Écriture arbitraire dans le système de fichiers Critique Oui Oui 8.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N CVE-2026-34653  
Dépendance à un composant tiers vulnérable (CWE-1395) Déni de service d’application Importante Oui Non 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVE-2026-34654  
Cross-site scripting (XSS stocké) (CWE-79) Exécution de code arbitraire Importante Oui Oui 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVE-2026-34655  
Autorisation incorrecte (CWE-285) Contournement des fonctions de sécurité important Non Non 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N CVE-2026-34656  
Cross-site scripting (XSS stocké) (CWE-79) Exécution de code arbitraire Importante Oui Oui 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVE-2026-34658  
Validation d’entrée incorrecte (CWE-20) Exécution de code arbitraire Modérée Oui Oui 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N CVE-2026-34685  
Remarque :

Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.


L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.

Remerciements

Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :

  • thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
  • 0x0doteth -- CVE-2026-34647
  • bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
  • wash0ut -- CVE-2026-34652

  • rez0 -- CVE-2026-34653

  • akouba -- CVE-2026-34654

  • srcoder -- CVE-2026-34655

  • schemonah -- CVE-2026-34658
  • truff -- CVE-2026-34685
  • Ray Wolf (raywolfmaster) -- CVE-2026-34686

REMARQUE : Adobe dispose d’un programme public de prime aux bogues avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur externe en sécurité, rendez-vous sur https://hackerone.com/adobe.

Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

Adobe, Inc.

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Liens rapides

Voir toutes vos formules Gérer vos formules
Afficher les liens rapides
Masquer les liens rapides