ID bulletinu
Naposledy aktualizováno
16. 3. 2026
Bezpečnostní aktualizace dostupná pro Adobe Commerce | APSB26-05
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB26-05 |
10. března 2026 |
2 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritické, důležité a mírné zranitelnosti. Úspěšné zneužití by mohlo vést k obejití bezpečnostních funkcí, odmítnutí služby aplikace, zvýšení oprávnění, spuštění libovolného kódu a čtení libovolného systému souborů.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze
| Produkt | Verze | Úroveň priority | Platforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 a starší 2.4.8-p3 a starší 2.4.7-p8 a starší 2.4.6-p13 a starší 2.4.5-p15 a starší 2.4.4-p16 a starší |
2 | Vše |
| Adobe Commerce B2B |
1.5.3-alpha3 a starší 1.5.2-p3 a starší 1.4.2-p8 a starší 1.3.5-p13 a starší 1.3.4-p15 a starší 1.3.3-p16 a starší |
2 | Vše |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 a starší 2.4.7-p8 a starší 2.4.6-p13 a starší 2.4.5-p15 a starší |
2 | Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 pro 2.4.9‑alpha3 2.4.8‑p4 pro 2.4.8‑p3 a starší 2.4.7‑p9 pro 2.4.7‑p8 a starší 2.4.6‑p14 pro 2.4.6‑p13 a starší 2.4.5‑p16 pro 2.4.5‑p15 a starší 2.4.4‑p17 pro 2.4.4‑p16 a starší |
Vše | 2 | Poznámky k verzi 2.4.x |
| Adobe Commerce B2B | 1.5.3‑beta1 pro 1.5.3‑alpha3 1.5.2‑p4 pro 1.5.2‑p3 a starší 1.4.2‑p9 pro 1.4.2‑p8 a starší 1.3.5‑p14 pro 1.3.5‑p13 a starší 1.3.4‑p16 pro 1.3.4‑p15 a starší 1.3.3‑p17 pro 1.3.3‑p16 a starší |
Vše | 2 | |
| Magento Open Source | 2.4.9‑beta1 pro 2.4.9‑alpha3 2.4.8‑p4 pro 2.4.8‑p3 a starší 2.4.7‑p9 pro 2.4.7‑p8 a starší 2.4.6‑p14 pro 2.4.6‑p13 a starší 2.4.5‑p16 pro 2.4.5‑p15 a starší |
Vše | 2 | Poznámky k vydání 2.4.9-beta1 |
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Skriptování mezi weby (uložený XSS) (CWE-79) | Eskalace oprávnění | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Eskalace oprávnění | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Kritická | Ano | Ne | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Eskalace oprávnění | Kritická | Ano | Ano | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Eskalace oprávnění | Kritická | Ano | Ne | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Nesprávná autorizace (CWE-863) | Eskalace oprávnění | Kritická | Ano | Ne | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | Ano | Ano | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | Ano | Ano | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Útoky SSRF (Server-Side Request Forgery) (CWE-918) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Útoky SSRF (Server-Side Request Forgery) (CWE-918) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| Přesměrování adresy URL na nedůvěryhodný server („Otevřené přesměrování“) (CWE-601) | Obcházení bezpečnostních funkcí | Střední | Ano | Ne | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn --CVE-2026-21359
- icare -- CVE-2026-21360
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
