Bulletin-ID
Sidst opdateret den
25. mar. 2026
Tilgængelig sikkerhedsopdatering til Adobe Commerce | APSB26-05
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB26-05 |
10. marts 2026 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne updatering løser kritiske, vigtige og moderate sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre omgåelse af sikkerhedsfunktioner, denial-of-service for programmet, eskalering af rettigheder, eksekvering af vilkårlig kode og systemlæsning af vilkårlige filer.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Prioritetsgrad | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 og tidligere 2.4.8-p3 og tidligere 2.4.7-p8 og tidligere 2.4.6-p13 og tidligere 2.4.5-p15 og tidligere 2.4.4-p16 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha3 og tidligere 1.5.2-p3 og tidligere 1.4.2-p8 og tidligere 1.3.5-p13 og tidligere 1.3.4-p15 og tidligere 1.3.3-p16 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 og tidligere 2.4.7-p8 og tidligere 2.4.6-p13 og tidligere 2.4.5-p15 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 for 2.4.9‑alpha3 2.4.8‑p4 for 2.4.8‑p3 og tidligere 2.4.7‑p9 for 2.4.7‑p8 og tidligere 2.4.6‑p14 for 2.4.6‑p13 og tidligere 2.4.5‑p16 for 2.4.5‑p15 og tidligere 2.4.4‑p17 for 2.4.4‑p16 og tidligere |
Alle | 2 | 2.4.x Produktbemærkninger |
| Adobe Commerce B2B | 1.5.3‑beta1 for 1.5.3‑alpha3 1.5.2‑p4 for 1.5.2‑p3 og tidligere 1.4.2‑p9 for 1.4.2‑p8 og tidligere 1.3.5‑p14 for 1.3.5‑p13 og tidligere 1.3.4‑p16 for 1.3.4‑p15 og tidligere 1.3.3‑p17 for 1.3.3‑p16 og tidligere |
Alle | 2 | |
| Magento Open Source | 2.4.9‑beta1 for 2.4.9‑alpha3 2.4.8‑p4 for 2.4.8‑p3 og tidligere 2.4.7‑p9 for 2.4.7‑p8 og tidligere 2.4.6‑p14 for 2.4.6‑p13 og tidligere 2.4.5‑p16 for 2.4.5‑p15 og tidligere |
Alle | 2 | 2.4.9-beta1 – produktbemærkning |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Cross-site scripting (lagret XSS) (CWE-79) | Eskalering af rettigheder | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Eskalering af rettigheder | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Kritisk | Ja | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Eskalering af rettigheder | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Eskalering af rettigheder | Kritisk | Ja | Nej | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Ukorrekt autorisation (CWE-863) | Eskalering af rettigheder | Kritisk | Ja | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Ukorrekt input-validering (CWE-20) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Ukorrekt input-validering (CWE-20) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| URL-omdirigering til et potentielt farligt websted ("Open Redirect") (CWE-601) | Sikkerhedsomgåelse | Moderat | Ja | Nej | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn -- CVE-2026-21359
- icare -- CVE-2026-21360
BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde for Adobe som ekstern sikkerhedsforsker, skal du gå til: https://hackerone.com/adobe.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
