Tiedotteen tunnus
Päivitetty viimeksi
21. toukokuuta 2026
Adobe Commercen tietoturvapäivitys | APSB26-49
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB26-49 |
12. toukokuuta 2026 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Päivitys korjaa kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, mielivaltaiseen järjestelmän kirjoitukseen, palveluneston käyttöön ja tietoturvaominaisuuksien ohittamiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Prioriteettiluokitus | Ympäristö |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 ja aiemmat versiot 2.4.7-p9 ja aiemmat versiot 2.4.6-p14 ja aiemmat versiot 2.4.5-p16 ja aiemmat versiot 2.4.4-p17 ja aiemmat versiot |
2 | Kaikki |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 ja aiemmat versiot 1.4.2-p9 ja aiemmat versiot 1.3.4-p16 ja aiemmat versiot 1.3.3-p17 ja aiemmat versiot |
2 | Kaikki |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 ja aiemmat versiot 2.4.7-p9 ja aiemmat versiot 2.4.6-p14 ja aiemmat versiot |
2 | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Kaikki | 2 | Version 2.4.x julkaisutiedot |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Kaikki | 2 | Version 2.4.x julkaisutiedot |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Kaikki | 2 | Version 2.4.x julkaisutiedot |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Ei | Kyllä | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Ei | Kyllä | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Palvelinpuolen pyynnön väärennös (SSRF) (CWE-918) | Tietoturvaominaisuuden ohitus | Kriittinen | Ei | Kyllä | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Resurssien hallitsematon kulutus (CWE-400) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Resurssien hallitsematon kulutus (CWE-400) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Resurssien hallitsematon kulutus (CWE-400) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Resurssien hallitsematon kulutus (CWE-400) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Riippuvuus haavoittuvaisesta kolmannen osapuolen komponentista (CWE-1395) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Mielivaltainen tiedostojärjestelmään kirjoitus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Riippuvuus haavoittuvaisesta kolmannen osapuolen komponentista (CWE-1395) | Sovelluksen palvelunesto | Tärkeä | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Virheellinen valtuutus (CWE-285) | Tietoturvaominaisuuden ohitus | Tärkeä | Ei | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Virheellinen syötteen tarkistus (CWE-20) | Mielivaltaisen koodin suoritus | Kohtalainen | Kyllä | Kyllä | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
