Tiedotteen tunnus
Päivitetty viimeksi
25. maaliskuuta 2026
Adobe Commercen tietoturvapäivitys | APSB26-05
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB26-05 |
10.3.2026 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Päivitys korjaa kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa tietoturvaominaisuuksien ohittamiseen, sovelluksen palvelunestohäiriöihin, käyttöoikeuksien laajennukseen ja mielivaltaisen järjestelmätiedostojen lukemiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Prioriteettiluokitus | Ympäristö |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 ja aiemmat 2.4.8-p3 ja aiemmat 2.4.7-p8 ja aiemmat 2.4.6-p13 ja aiemmat 2.4.5-p15 ja aiemmat 2.4.4-p16 ja aiemmat |
2 | Kaikki |
| Adobe Commerce B2B |
1.5.3-alpha3 ja aiemmat 1.5.2-p3 ja aiemmat 1.4.2-p8 ja aiemmat 1.3.5-p13 ja aiemmat 1.3.4-p15 ja aiemmat 1.3.3-p16 ja aiemmat |
2 | Kaikki |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 ja aiemmat 2.4.7-p8 ja aiemmat 2.4.6-p13 ja aiemmat 2.4.5-p15 ja aiemmat |
2 | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 versiolle 2.4.9‑alpha3 2.4.8‑p4 versiolle 2.4.8‑p3 ja aiemmille 2.4.7‑p9 versiolle 2.4.7‑p8 ja aiemmille 2.4.6‑p14 versiolle 2.4.6‑p13 ja aiemmille 2.4.5‑p16 versiolle 2.4.5‑p15 ja aiemmille 2.4.4‑p17 versiolle 2.4.4‑p16 ja aiemmille |
Kaikki | 2 | Version 2.4.x julkaisutiedot |
| Adobe Commerce B2B | 1.5.3‑beta1 versiolle 1.5.3‑alpha3 1.5.2‑p4 versiolle 1.5.2‑p3 ja aiemmille 1.4.2‑p9 versiolle 1.4.2‑p8 ja aiemmille 1.3.5‑p14 versiolle 1.3.5‑p13 ja aiemmille 1.3.4‑p16 versiolle 1.3.4‑p15 ja aiemmille 1.3.3‑p17 versiolle 1.3.3‑p16 ja aiemmille |
Kaikki | 2 | |
| Magento Open Source | 2.4.9‑beta1 2.4.9‑alpha3:lle 2.4.8‑p4 2.4.8‑p3:lle ja aiemmille 2.4.7‑p9 2.4.7‑p8:lle ja aiemmille 2.4.6‑p14 2.4.6‑p13:sta ja aiemmille 2.4.5‑p16 2.4.5‑p15Lsta ja aiemmille |
Kaikki | 2 | 2.4.9-beta1 julkaisutiedot |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Ei | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Virheellinen valtuutus (CWE-863) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| URL-osoitteen uudelleenohjaus epäluotettavalle sivustolle (”Avoin uudelleenohjaus”) (CWE-601) | Tietoturvaominaisuuden ohitus | Kohtalainen | Kyllä | Ei | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn -- CVE-2026-21359
- icare -- CVE-2026-21360
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
