ID bollettino
Ultimo aggiornamento il
16 mar 2026
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB26-05
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB26-05 |
10 marzo 2026 |
2 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Un exploit riuscito potrebbe portare al bypass delle funzionalità di sicurezza, al denial-of-service dell'app, all'escalation dei privilegi, all'esecuzione di simboli arbitrari e alla lettura arbitraria del file system.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Livello di priorità | Piattaforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 e versioni precedenti 2.4.8-p3 e versioni precedenti 2.4.7-p8 e versioni precedenti 2.4.6-p13 e versioni precedenti 2.4.5-p15 e versioni precedenti 2.4.4-p16 e versioni precedenti |
2 | Tutte |
| Adobe Commerce B2B |
1.5.3-alpha3 e versioni precedenti 1.5.2-p3 e versioni precedenti 1.4.2-p8 e versioni precedenti 1.3.5-p13 e versioni precedenti 1.3.4-p15 e versioni precedenti 1.3.3-p16 e versioni precedenti |
2 | Tutte |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 e versioni precedenti 2.4.7-p8 e versioni precedenti 2.4.6-p13 e versioni precedenti 2.4.5-p15 e versioni precedenti |
2 | Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 per 2.4.9‑alpha3 2.4.8‑p4 per 2.4.8‑p3 e versioni precedenti 2.4.7‑p9 per 2.4.7‑p8 e versioni precedenti 2.4.6‑p14 per 2.4.6‑p13 e versioni precedenti 2.4.5‑p16 per 2.4.5‑p15 e versioni precedenti 2.4.4‑p17 per 2.4.4‑p16 e versioni precedenti |
Tutte | 2 | Note sulla versione 2.4.x |
| Adobe Commerce B2B | 1.5.3‑beta1 per 1.5.3‑alpha3 1.5.2‑p4 per 1.5.2‑p3 e versioni precedenti 1.4.2‑p9 per 1.4.2‑p8 e versioni precedenti 1.3.5‑p14 per 1.3.5‑p13 e versioni precedenti 1.3.4‑p16 per 1.3.4‑p15 e versioni precedenti 1.3.3‑p17 per 1.3.3‑p16 e versioni precedenti |
Tutte | 2 | |
| Magento Open Source | 2.4.9‑beta1 per 2.4.9‑alpha3 2.4.8‑p4 per 2.4.8‑p3 e versioni precedenti 2.4.7‑p9 per 2.4.7‑p8 e versioni precedenti 2.4.6‑p14 per 2.4.6‑p13 e versioni precedenti 2.4.5‑p16 per 2.4.5‑p15 e versioni precedenti |
Tutte | 2 | Note sulla versione 2.4.9-beta1 |
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l’utilizzo? | L’utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Acquisizione illecita di privilegi | Critico | Sì | Sì | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Acquisizione illecita di privilegi | Critico | Sì | Sì | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Critico | Sì | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Acquisizione illecita di privilegi | Critico | Sì | Sì | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Acquisizione illecita di privilegi | Critico | Sì | No | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Autorizzazione errata (CWE-863) | Acquisizione illecita di privilegi | Critica | Sì | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | Sì | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Convalida dell’input non corretta (CWE-20) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Convalida dell’input non corretta (CWE-20) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| Reindirizzamento dell’URL a un sito non attendibile ('Open Redirect') (CWE-601) | Aggiramento della funzione di sicurezza | Moderata | Sì | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Nota:
È richiesta l’autenticazione per l’utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L’utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn --CVE-2026-21359
- icare -- CVE-2026-21360
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe facendo ricerche sulla sicurezza dall’esterno, visita https://hackerone.com/adobe.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un’e-mail a PSIRT@adobe.com.
