Adobe 安全公告

搜索

Adobe Commerce 的安全更新| APSB26-05

公告 ID

发布日期

优先级

APSB26-05

2026 年 3 月 10 日

2

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。 此更新修复了严重重要中等漏洞。  成功利用该漏洞可能会导致安全功能绕过、应用程序拒绝服务、权限升级、任意代码执行和任意文件系统读取。

Adobe 尚未收到任何有关这些更新中所述漏洞被人利用的信息。

受影响的版本

产品 版本 优先级 平台
 Adobe Commerce

2.4.9-alpha3 及更早版本

2.4.8-p3 及更早版本

2.4.7-p8 及更早版本

2.4.6-p13 及更早版本

2.4.5-p15 及更早版本

2.4.4-p16 及更早版本

 2 全部
Adobe Commerce B2B

1.5.3-alpha3 及更早版本

1.5.2-p3 及更早版本

1.4.2-p8 及更早版本

1.3.5-p13 及更早版本

1.3.4-p15 及更早版本

1.3.3-p16 及更早版本

 2 全部
Magento Open Source

2.4.9-alpha3

2.4.8-p3 及更早版本

2.4.7-p8 及更早版本

2.4.6-p13 及更早版本

2.4.5-p15 及更早版本

 2 全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新版本 平台 优先级 安装说明
Adobe Commerce 2.4.9‑beta1 适用于 2.4.9‑alpha3
2.4.8‑p4 适用于 2.4.8‑p3 及更早版本
2.4.7‑p9 适用于 2.4.7‑p8 及更早版本
2.4.6‑p14 适用于 2.4.6‑p13 及更早版本
2.4.5‑p16 适用于 2.4.5‑p15 及更早版本
2.4.4‑p17 适用于 2.4.4‑p16 及更早版本		 全部 2 2.4.x 发行说明
Adobe Commerce B2B 1.5.3‑beta1 适用于 1.5.3‑alpha3
1.5.2‑p4 适用于 1.5.2‑p3 及更早版本
1.4.2‑p9 适用于 1.4.2‑p8 及更早版本
1.3.5‑p14 适用于 1.3.5‑p13 及更早版本
1.3.4‑p16 适用于 1.3.4‑p15 及更早版本
1.3.3‑p17 适用于 1.3.3‑p16 及更早版本		 全部 2  
Magento Open Source 2.4.9-beta1 适用于 2.4.9-alpha3
2.4.8-p4 适用于 2.4.8-p3 及更早版本
2.4.7-p9 适用于 2.4.7-p8 及更早版本
2.4.6-p14 适用于 2.4.6-p13 及早期
2.4.5-p16 适用于 2.4.5-p15 及更早版本		 全部 2 2.4.9-beta1 发行说明

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

漏洞详情

漏洞类别 漏洞影响 严重性 利用漏洞需要验证身份? 利用漏洞需要管理员权限?
 CVSS 基础评分
 CVSS 向量
 CVE 编号 备注
跨站脚本(存储型 XSS)(CWE-79 权限提升 关键 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N CVE-2026-21361  
跨站脚本(存储型 XSS)(CWE-79 权限提升 关键 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N CVE-2026-21284  
授权不正确(CWE-863 安全功能绕过 关键 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVE-2026-21289  
跨站脚本(存储型 XSS)(CWE-79 权限提升 关键 8.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2026-21290  
跨站脚本(存储型 XSS)(CWE-79 权限提升 关键 8.0 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N CVE-2026-21311  
授权不正确(CWE-863 权限提升 关键 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVE-2026-21309
授权不正确(CWE-863 安全功能绕过 重要 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2026-21285  
授权不正确(CWE-863 安全功能绕过 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2026-21286  
跨站脚本(存储型 XSS)(CWE-79 任意代码执行 重要 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVE-2026-21291  
跨站脚本(存储型 XSS)(CWE-79 任意代码执行 重要 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2026-21292  
服务器端请求伪造(SSRF)(CWE-918 安全功能绕过 重要 5.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N CVE-2026-21293  
服务器端请求伪造(SSRF)(CWE-918 安全功能绕过 重要 5.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N CVE-2026-21294  
授权不正确(CWE-863 安全功能绕过 重要 4.7 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L CVE-2026-21359  
对受限目录路径名称的限制不当(“路径遍历”)(CWE-22) 安全功能绕过 重要 6.8
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N		 CVE-2026-21360  
输入验证不当(CWE-20 安全功能绕过 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVE-2026-21282
输入验证不当(CWE-20 安全功能绕过 重要 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVE-2026-21310
授权不正确(CWE-863 安全功能绕过 重要 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2026-21296
授权不正确(CWE-863 安全功能绕过 重要 4.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CVE-2026-21297
URL 重定向到不信任的网站(“开放重定向”)(CWE-601) 安全功能旁路 中等 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N CVE-2026-21295  
注意:

利用漏洞需要验证身份:该漏洞无需凭据即可被利用(或无法利用)。


利用漏洞需要管理员权限:该漏洞仅具有管理员权限的攻击者可以利用(或无法利用)。

鸣谢

Adobe 衷心感谢以下研究人员报告这些问题并与 Adobe 一起保护我们的客户:

  • Akash Hamal (akashhamal0x01) -- CVE-2026-21285、CVE-2026-21286、CVE-2026-21296、CVE-2026-21297、CVE-2026-21310
  • jk-brah -- CVE-2026-21284
  • Simon M -- CVE-2026-21289 
  • raywolfmaster -- CVE-2026-21290、CVE-2026-21291、CVE-2026-21292 
  • truff -- CVE-2026-21293、CVE-2026-21294、CVE-2026-21361
  • schemonah -- CVE-2026-21295 
  • archyxsec -- CVE-2026-21311
  • thlassche -- CVE-2026-21282
  • x0.eth (0x0doteth) -- CVE-2026-21309
  • fqdn -- CVE-2026-21359
  • icare -- CVE-2026-21360

注意:Adobe 与 HackerOne 合作开展公共错误赏金计划。 如果您有兴趣作为外部安全研究员与 Adobe 合作,请查看 https://hackerone.com/adobe

有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

Adobe, Inc.

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接