Bulletin-ID
Senast uppdaterad den
18 maj 2026
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB26-49
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB26-49 |
12 maj 2026 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Denna uppdatering löser kritiska, viktiga och måttliga sårbarheter. Framgångsrik exploatering kan leda till godtycklig kodkörning, godtycklig filsystemskrivning, överbelastning av applikationer och förbigång av säkerhetsfunktioner.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Prioritetsklassificering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 och tidigare 2.4.7-p9 och tidigare 2.4.6-p14 och tidigare 2.4.5-p16 och tidigare 2.4.4-p17 och tidigare |
2 | Alla |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 och tidigare 1.4.2-p9 och tidigare 1.3.4-p16 och tidigare 1.3.3-p17 och tidigare |
2 | Alla |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 och tidigare 2.4.7-p9 och tidigare 2.4.6-p14 och tidigare |
2 | Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Alla | 2 | Versionsinformation för 2.4.x |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Alla | 2 | Versionsanteckningar för 2.4.x |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Alla | 2 | Versionsanteckningar för 2.4.x |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Kritisk | Nej | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Kritisk | Nej | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Förfalskad begäran på serversidan (SSRF) (CWE-918) | Åsidosättning av säkerhetsfunktion | Kritisk | Nej | Ja | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Okontrollerad resursförbrukning (CWE-400) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Okontrollerad resursförbrukning (CWE-400) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Okontrollerad resursförbrukning (CWE-400) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Okontrollerad resursförbrukning (CWE-400) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Beroende av sårbar komponent från tredje part (CWE-1395) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) | Godtycklig skrivning till filsystem | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Beroende av sårbar komponent från tredje part (CWE-1395) | Överbelastningsattack mot program | Viktigt | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Felaktig auktorisering (CWE-285) | Åsidosättning av säkerhetsfunktion | viktig | Nej | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Felaktig validering av indata (CWE-20) | Exekvering av godtycklig kod | Måttlig | Ja | Ja | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
