Bulletin-ID
Zuletzt aktualisiert am
25. März 2026
Sicherheits-Update für Adobe Commerce verfügbar | APSB26-05
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB26-05 |
10. März 2026 |
2 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Updaten behebt kritische, wichtige und moderate Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Umgehung von Sicherheitsfunktionen, zum Denial-of-Service der Anwendung, zur Berechtigungsausweitung, zur willkürlichen Ausführung von Code und zum willkürlichen Lesen von Dateisystemen führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Prioritätseinstufung | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 und früher 2.4.8-p3 und früher 2.4.7-p8 und früher 2.4.6-p13 und früher 2.4.5-p15 und früher 2.4.4-p16 und früher |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha3 und früher 1.5.2-p3 und früher 1.4.2-p8 und früher 1.3.5-p13 und früher 1.3.4-p15 und früher 1.3.3-p16 und früher |
2 | Alle |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 und früher 2.4.7-p8 und früher 2.4.6-p13 und früher 2.4.5-p15 und früher |
2 | Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 für 2.4.9‑alpha3 2.4.8‑p4 für 2.4.8‑p3 und früher 2.4.7‑p9 für 2.4.7‑p8 und früher 2.4.6‑p14 für 2.4.6‑p13 und früher 2.4.5‑p16 für 2.4.5‑p15 und früher 2.4.4‑p17 für 2.4.4‑p16 und früher |
Alle | 2 | 2.4.x – Versionshinweise |
| Adobe Commerce B2B | 1.5.3‑beta1 für 1.5.3‑alpha3 1.5.2‑p4 für 1.5.2‑p3 und früher 1.4.2‑p9 für 1.4.2‑p8 und früher 1.3.5‑p14 für 1.3.5‑p13 und früher 1.3.4‑p16 für 1.3.4‑p15 und früher 1.3.3‑p17 für 1.3.3‑p16 und früher |
Alle | 2 | |
| Magento Open Source | 2.4.9‑beta1 für 2.4.9‑alpha3 2.4.8‑p4 für 2.4.8‑p3 und früher 2.4.7‑p9 für 2.4.7‑p8 und früher 2.4.6‑p14 für 2.4.6‑p13 und früher 2.4.5‑p16 für 2.4.5‑p15 und früher |
Alle | 2 | Versionshinweise zu 2.4.9-beta1 |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Berechtigungsausweitung | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Berechtigungsausweitung | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Berechtigungsausweitung | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Berechtigungsausweitung | Kritisch | Ja | Nein | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Falsche Autorisierung (CWE-863) | Berechtigungsausweitung | Kritisch | Ja | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Server-Side Request Forgery (SSRF) (CWE-918) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Unangemessene Eingabevalidierung (CWE-20) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Unangemessene Eingabevalidierung (CWE-20) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| URL-Umleitung zu einer nicht vertrauenswürdigen Website ('Open Redirect') (CWE-601) | Umgehung der Sicherheitsfunktionen | Mittel | Ja | Nein | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn -- CVE-2026-21359
- icare -- CVE-2026-21360
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, besuchen Sie bitte https://hackerone.com/adobe.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
