Bulletin-ID
Sidst opdateret den
21. maj 2026
Tilgængelige sikkerhedsopdateringer til Adobe Commerce | APSB26-49
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB26-49 |
12. maj 2026 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske, vigtige og moderate sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig eksekvering af kode og skrivning til filsystemet, denial-of-service for programmet og omgåelse af sikkerhedsfunktioner.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Prioritetsgrad | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 og tidligere 2.4.7-p9 og tidligere 2.4.6-p14 og tidligere 2.4.5-p16 og tidligere 2.4.4-p17 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 og tidligere 1.4.2-p9 og tidligere 1.3.4-p16 og tidligere 1.3.3-p17 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 og tidligere 2.4.7-p9 og tidligere 2.4.6-p14 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Alle | 2 | 2.4.x produktbemærkninger |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Alle | 2 | 2.4.x produktbemærkninger |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Alle | 2 | 2.4.x produktbemærkninger |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Kritisk | Nej | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Kritisk | Nej | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Forfalskning af anmodninger på serversiden (SSRF) (CWE-918) | Sikkerhedsomgåelse | Kritisk | Nej | Ja | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Ukontrolleret ressourceforbrug (CWE-400) | Denial-of-service for applikation | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Ukontrolleret ressourceforbrug (CWE-400) | Denial-of-service for applikation | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Ukontrolleret ressourceforbrug (CWE-400) | Denial-of-service for applikation | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Ukontrolleret ressourceforbrug (CWE-400) | Denial-of-service for applikation | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Afhængighed af sårbar tredjepartskomponent (CWE-1395) | Denial-of-service for applikation | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) | Vilkårlig filsystem-skrivning | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Afhængighed af sårbar tredjepartskomponent (CWE-1395) | Denial-of-service for applikation | Vigtig | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Ukorrekt autorisation (CWE-285) | Sikkerhedsomgåelse | vigtig | Nej | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Ukorrekt input-validering (CWE-20) | Vilkårlig kodekørsel | Moderat | Ja | Ja | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde for Adobe som ekstern sikkerhedsforsker, skal du gå til: https://hackerone.com/adobe.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
