Boletín de seguridad de Adobe

Buscar

Actualización de seguridad disponible para Adobe Commerce | APSB26-49

ID del boletín

Fecha de publicación

Prioridad

APSB26-49

12 de mayo de 2026

2

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría llevar a la ejecución de código arbitrario, escritura arbitraria del sistema de archivos, denegación de servicio de la aplicación y omisión de funciones de seguridad.

Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.

Versiones afectadas

Producto Versión Nivel de prioridad Plataforma
 Adobe Commerce

2.4.9-beta1

2.4.8-p4 y anteriores

2.4.7-p9 y anteriores

2.4.6-p14 y anteriores

2.4.5-p16 y anteriores

2.4.4-p17 y anteriores

 2 Todas
Adobe Commerce B2B

1.5.3-beta1

1.5.2-p4 y anteriores

1.4.2-p9 y anteriores

1.3.4-p16 y anteriores

1.3.3-p17 y anteriores

 2 Todas
Magento Open Source

2.4.9-beta1

2.4.8-p4 y anteriores

2.4.7-p9 y anteriores

2.4.6-p14 y anteriores

 2 Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Nivel de prioridad Instrucciones de instalación
Adobe Commerce

2.4.9

2.4.8-p5

2.4.7-p10

2.4.6-p15

2.4.5-p17

2.4.4-p18

 Todas 2 Notas de la versión 2.4.x
Adobe Commerce B2B

1.5.3

1.5.2-p5

1.4.2-p10

1.3.4-p17

1.3.3-p18

 Todas 2 Notas de la versión 2.4.x
Magento Open Source

2.4.9

2.4.8-p5

2.4.7-p10

2.4.6-p15

 Todas 2 Notas de la versión 2.4.x

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Se requiere autenticación para la explotación? ¿La explotación requiere privilegios de administrador?
 Puntuación base CVSS
 Vector CVSS
 Número(s) CVE Notas
Autorización incorrecta (CWE-863) Omisión de la función de seguridad Crítica No 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2026-34645  
Autorización incorrecta (CWE-863) Omisión de la función de seguridad Crítica No 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2026-34646  
Falsificación de solicitud del lado del servidor (SSRF) (CWE-918) Omisión de la función de seguridad Crítica No 7.4 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N CVE-2026-34647  
Consumo de recursos no controlado (CWE-400) Denegación de servicio de la aplicación Crítica No No 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34648  
Consumo de recursos no controlado (CWE-400) Denegación de servicio de la aplicación Crítica No No 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34649  
Consumo de recursos no controlado (CWE-400) Denegación de servicio de la aplicación Crítica No No 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34650  
Consumo de recursos no controlado (CWE-400) Denegación de servicio de la aplicación Crítica No No 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34651  
Dependencia de componente de terceros vulnerable (CWE-1395) Denegación de servicio de la aplicación Crítica No No 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2026-34652  
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) Ejecución de código arbitrario Crítica 8.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2026-34686  
Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) Escritura arbitraria del sistema de archivos Crítica 8.7 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N CVE-2026-34653  
Dependencia de componente de terceros vulnerable (CWE-1395) Denegación de servicio de la aplicación Importante No 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVE-2026-34654  
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) Ejecución de código arbitrario Importante 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVE-2026-34655  
Autorización incorrecta (CWE-285) Omisión de la función de seguridad Importante No No 4.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N CVE-2026-34656  
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) Ejecución de código arbitrario Importante 4.8 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N CVE-2026-34658  
Validación incorrecta de la entrada (CWE-20) Ejecución de código arbitrario Moderada 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N CVE-2026-34685  
Nota:

Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.


La explotación requiere privilegios de administrador:  La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
  • 0x0doteth -- CVE-2026-34647
  • bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
  • wash0ut -- CVE-2026-34652

  • rez0 -- CVE-2026-34653

  • akouba -- CVE-2026-34654

  • srcoder -- CVE-2026-34655

  • schemonah -- CVE-2026-34658
  • truff -- CVE-2026-34685
  • Ray Wolf (raywolfmaster) -- CVE-2026-34686

NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe.

Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

Adobe, Inc.

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Vínculos rápidos

Ver todos los planes Administrar los planes
Ver vínculos rápidos
Ocultar vínculos rápidos