Bulletin-ID
Sist oppdatert
16. mar. 2026
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB26-05
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB26-05 |
10. mars 2026 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske, viktige og moderete sårbarheter. Vellykket utnyttelse kan føre til omgåelse av sikkerhetsfunksjoner, tjenestenekt for applikasjoner, rettighetseskalering, vilkårlig kodekjøring og vilkårlig lesing av filsystem.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Prioritetsklassifisering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 og tidligere 2.4.8-p3 og tidligere 2.4.7-p8 og tidligere 2.4.6-p13 og tidligere 2.4.5-p15 og tidligere 2.4.4-p16 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha3 og tidligere 1.5.2-p3 og tidligere 1.4.2-p8 og tidligere 1.3.5-p13 og tidligere 1.3.4-p15 og tidligere 1.3.3-p16 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 og tidligere 2.4.7-p8 og tidligere 2.4.6-p13 og tidligere 2.4.5-p15 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 for 2.4.9‑alpha3 2.4.8‑p4 for 2.4.8‑p3 og tidligere 2.4.7‑p9 for 2.4.7‑p8 og tidligere 2.4.6‑p14 for 2.4.6‑p13 og tidligere 2.4.5‑p16 for 2.4.5‑p15 og tidligere 2.4.4‑p17 for 2.4.4‑p16 og tidligere |
Alle | 2 | 2.4.x utgivelsesmerknader |
| Adobe Commerce B2B | 1.5.3‑beta1 for 1.5.3‑alpha3 1.5.2‑p4 for 1.5.2‑p3 og tidligere 1.4.2‑p9 for 1.4.2‑p8 og tidligere 1.3.5‑p14 for 1.3.5‑p13 og tidligere 1.3.4‑p16 for 1.3.4‑p15 og tidligere 1.3.3‑p17 for 1.3.3‑p16 og tidligere |
Alle | 2 | |
| Magento Open Source | 2.4.9‑beta1 for 2.4.9‑alpha3 2.4.8‑p4 for 2.4.8‑p3 og tidligere 2.4.7‑p9 for 2.4.7‑p8 og tidligere 2.4.6‑p14 for 2.4.6‑p13 og tidligere 2.4.5‑p16 for 2.4.5‑p15 og tidligere |
Alle | 2 | Utgivelsesnotater for 2.4.9-beta1 |
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Rettighetsutvidelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Rettighetsutvidelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Kritisk | Ja | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Rettighetsutvidelse | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Rettighetsutvidelse | Kritisk | Ja | No | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Feil autorisasjon (CWE-863) | Rettighetsutvidelse | Kritisk | Ja | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Viktig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Viktig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Forfalskning av forespørsel på serverside (SSRF) (CWE-918) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) | Omgåelse av sikkerhetsfunksjon | Moderat | Ja | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn --CVE-2026-21359
- icare -- CVE-2026-21360
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du se https://hackerone.com/adobe.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
