ID do boletim
Última atualização em
21/05/2026
Atualização de segurança disponível para o Adobe Commerce | APSB26-49
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB26-49 |
12 de maio de 2026 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essa atualização resolve vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida pode levar à execução arbitrária de código, gravação arbitrária no sistema de arquivos, negação de serviço do aplicativo e desvio de recursos de segurança.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Classificação de prioridade | Plataforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 e anterior 2.4.7-p9 e anterior 2.4.6-p14 e anterior 2.4.5-p16 e anterior 2.4.4-p17 e anterior |
2 | Todos |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 e anterior 1.4.2-p9 e anterior 1.3.4-p16 e anterior 1.3.3-p17 e anterior |
2 | Todas |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 e anterior 2.4.7-p9 e anterior 2.4.6-p14 e anterior |
2 | Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Todas | 2 | Notas de versão 2.4.x |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Todas | 2 | Notas de versão 2.4.x |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Todas | 2 | Notas de versão 2.4.x |
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Crítico | Não | Sim | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Crítico | Não | Sim | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Falsificação de solicitação do lado do servidor (SSRF) (CWE-918) | Falha de recurso de segurança | Crítico | Não | Sim | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Dependência de componente de terceiros vulnerável (CWE-1395) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrário | Crítico | Sim | Sim | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) | Gravação arbitrária do sistema de arquivos | Crítico | Sim | Sim | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Dependência de componente de terceiros vulnerável (CWE-1395) | Negação de serviço de aplicativo | Importante | Sim | Não | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrário | Importante | Sim | Sim | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Autorização inadequada (CWE-285) | Falha de recurso de segurança | importante | Não | Não | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrário | Importante | Sim | Sim | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Validação de entrada inadequada (CWE-20) | Execução de código arbitrário | Moderado | Sim | Sim | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você tiver interesse em trabalhar com a Adobe como pesquisador de segurança externo, confira: https://hackerone.com/adobe.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
