ID del boletín
Última actualización el
16 mar. 2026
Actualización de seguridad disponible para Adobe Commerce | APSB26-05
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB26-05 |
10 de marzo de 2026 |
2 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría provocar la omisión de funciones de seguridad, denegación de servicio de la aplicación, escalación de privilegios, ejecución de código arbitrario y lectura arbitraria del sistema de archivos.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
| Producto | Versión | Nivel de prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 y anteriores 2.4.8-p3 y anteriores 2.4.7-p8 y anteriores 2.4.6-p13 y anteriores 2.4.5-p15 y anteriores 2.4.4-p16 y anteriores |
2 | Todas |
| Adobe Commerce B2B |
1.5.3-alpha3 y anteriores 1.5.2-p3 y anteriores 1.4.2-p8 y anteriores 1.3.5-p13 y anteriores 1.3.4-p15 y anteriores 1.3.3-p16 y anteriores |
2 | Todas |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 y anteriores 2.4.7-p8 y anteriores 2.4.6-p13 y anteriores 2.4.5-p15 y anteriores |
2 | Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9‑beta1 para 2.4.9‑alpha3 2.4.8‑p4 para 2.4.8‑p3 y anteriores 2.4.7‑p9 para 2.4.7‑p8 y anteriores 2.4.6‑p14 para 2.4.6‑p13 y anteriores 2.4.5‑p16 para 2.4.5‑p15 y anteriores 2.4.4‑p17 para 2.4.4‑p16 y anteriores |
Todas | 2 | Notas de la versión 2.4.x |
| Adobe Commerce B2B | 1.5.3‑beta1 para 1.5.3‑alpha3 1.5.2‑p4 para 1.5.2‑p3 y anteriores 1.4.2‑p9 para 1.4.2‑p8 y anteriores 1.3.5‑p14 para 1.3.5‑p13 y anteriores 1.3.4‑p16 para 1.3.4‑p15 y anteriores 1.3.3‑p17 para 1.3.3‑p16 y anteriores |
Todas | 2 | |
| Magento Open Source | 2.4.9‑beta1 para 2.4.9‑alpha3 2.4.8‑p4 para 2.4.8‑p3 y versiones anteriores 2.4.7‑p9 para 2.4.7‑p8 y versiones anteriores 2.4.6‑p14 para 2.4.6‑p13 y versiones anteriores 2.4.5‑p16 para 2.4.5‑p15 y versiones anteriores |
Todas | 2 | Notas de la versión 2.4.9-beta1 |
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE | Notas |
|---|---|---|---|---|---|---|---|---|
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Escalada de privilegios | Crítica | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Escalada de privilegios | Crítica | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Crítica | Sí | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Escalada de privilegios | Crítica | Sí | Sí | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Escalada de privilegios | Crítica | Sí | No | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Autorización incorrecta (CWE-863) | Escalación de privilegios | Crítica | Sí | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Importante | Sí | Sí | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Importante | Sí | Sí | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Falsificación de solicitud del lado del servidor (SSRF) (CWE-918) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Falsificación de solicitud del lado del servidor (SSRF) (CWE-918) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | No | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) | Omisión de la función de seguridad | Importante | Sí | Sí | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Validación incorrecta de la entrada (CWE-20) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Validación incorrecta de la entrada (CWE-20) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) | Omisión de la función de seguridad | Moderada | Sí | No | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn --CVE-2026-21359
- icare -- CVE-2026-21360
NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
