ID bollettino
Ultimo aggiornamento il
18 mag 2026
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB26-49
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB26-49 |
12 maggio 2026 |
2 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Un exploit riuscito potrebbe portare all'esecuzione di codice arbitrario, alla scrittura arbitraria del file system, al denial-of-service dell'applicazione e all'aggiramento delle funzionalità di sicurezza.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Livello di priorità | Piattaforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 e versioni precedenti 2.4.7-p9 e versioni precedenti 2.4.6-p14 e versioni precedenti 2.4.5-p16 e versioni precedenti 2.4.4-p17 e versioni precedenti |
2 | Tutte |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 e versioni precedenti 1.4.2-p9 e versioni precedenti 1.3.4-p16 e versioni precedenti 1.3.3-p17 e versioni precedenti |
2 | Tutte |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 e versioni precedenti 2.4.7-p9 e versioni precedenti 2.4.6-p14 e versioni precedenti |
2 | Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Tutte | 2 | Note sulla versione 2.4.x |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Tutte | 2 | Note sulla versione 2.4.x |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Tutte | 2 | Note sulla versione 2.4.x |
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l’utilizzo? | L’utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Critico | No | Sì | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Critico | No | Sì | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Aggiramento della funzione di sicurezza | Critico | No | Sì | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Consumo di risorse non controllato (CWE-400) | Attacco Denial of Service all’applicazione | Critico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Consumo di risorse non controllato (CWE-400) | Attacco Denial of Service all’applicazione | Critico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Consumo di risorse non controllato (CWE-400) | Attacco Denial of Service all’applicazione | Critico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Consumo di risorse non controllato (CWE-400) | Attacco Denial of Service all’applicazione | Critico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Dipendenza da componente di terze parti vulnerabile (CWE-1395) | Attacco Denial of Service all’applicazione | Critico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critico | Sì | Sì | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22) | Scrittura di file system arbitraria | Critica | Sì | Sì | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Dipendenza da componente di terze parti vulnerabile (CWE-1395) | Attacco Denial of Service all’applicazione | Importante | Sì | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Autorizzazione impropria (CWE-285) | Aggiramento della funzione di sicurezza | importante | No | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Convalida dell’input non corretta (CWE-20) | Esecuzione di codice arbitrario | Moderata | Sì | Sì | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Nota:
È richiesta l’autenticazione per l’utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L’utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe facendo ricerche sulla sicurezza dall’esterno, visita https://hackerone.com/adobe.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un’e-mail a PSIRT@adobe.com.
