Bulletin-ID
Senast uppdaterad den
16 mars 2026
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB26-05
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB26-05 |
10 mars 2026 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Denna uppdatering löser av avgörande vikt, viktiga och måttliga sårbarheter. Framgångsrik exploatering kan leda till förbikoppling av säkerhetsfunktioner, applikationsförnekelse av tjänst, privilegieeskalering, godtycklig kodkörning och godtycklig filsystemläsning.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Prioritetsklassificering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha3 och tidigare 2.4.8-p3 och tidigare 2.4.7-p8 och tidigare 2.4.6-p13 och tidigare 2.4.5-p15 och tidigare 2.4.4-p16 och tidigare |
2 | Alla |
| Adobe Commerce B2B |
1.5.3-alpha3 och tidigare 1.5.2-p3 och tidigare 1.4.2-p8 och tidigare 1.3.5-p13 och tidigare 1.3.4-p15 och tidigare 1.3.3-p16 och tidigare |
2 | Alla |
| Magento Open Source | 2.4.9-alpha3 2.4.8-p3 och tidigare 2.4.7-p8 och tidigare 2.4.6-p13 och tidigare 2.4.5-p15 och tidigare |
2 | Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-beta1 för 2.4.9-alpha3 2.4.8-p4 för 2.4.8-p3 och tidigare 2.4.7-p9 för 2.4.7-p8 och tidigare 2.4.6-p14 för 2.4.6-p13 och tidigare 2.4.5-p16 för 2.4.5-p15 och tidigare 2.4.4-p17 för 2.4.4-p16 och tidigare |
Alla | 2 | Versionsinformation 2.4.x |
| Adobe Commerce B2B | 1.5.3-beta1 för 1.5.3-alpha3 1.5.2-p4 för 1.5.2-p3 och tidigare 1.4.2-p9 för 1.4.2-p8 och tidigare 1.3.5-p14 för 1.3.5-p13 och tidigare 1.3.4-p16 för 1.3.4-p15 och tidigare 1.3.3-p17 för 1.3.3-p16 och tidigare |
Alla | 2 | |
| Magento Open Source | 2.4.9‑beta1 för 2.4.9‑alpha3 2.4.8‑p4 för 2.4.8‑p3 och tidigare 2.4.7‑p9 för 2.4.7‑p8 och tidigare 2.4.6‑p14 för 2.4.6‑p13 och tidigare 2.4.5‑p16 för 2.4.5‑p15 och tidigare |
Alla | 2 | Versionsanteckningar för 2.4.9-beta1 |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Eskalering av behörighet | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21361 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Eskalering av behörighet | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21284 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21289 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Eskalering av behörighet | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21290 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Eskalering av behörighet | Kritisk | Ja | Nej | 8.0 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N | CVE-2026-21311 | |
| Felaktig auktorisering (CWE-863) | Eskalering av behörighet | Kritisk | Ja | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2026-21309 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21285 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2026-21286 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21291 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-21292 | |
| Förfalskad begäran på serversidan (SSRF) (CWE-918) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21293 | |
| Förfalskad begäran på serversidan (SSRF) (CWE-918) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 5.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N | CVE-2026-21294 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Nej | 4.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:L | CVE-2026-21359 | |
| Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 6.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
CVE-2026-21360 | |
| Felaktig validering av indata (CWE-20) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-21282 | |
| Felaktig validering av indata (CWE-20) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21310 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21296 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2026-21297 | |
| URL-omdirigering till webbplats som inte är betrodd (”Öppna omdirigering”) (CWE-601) | Åsidosättning av säkerhetsfunktion | Måttlig | Ja | Nej | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-21295 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Akash Hamal (akashhamal0x01) -- CVE-2026-21285, CVE-2026-21286, CVE-2026-21296, CVE-2026-21297, CVE-2026-21310
- jk-brah -- CVE-2026-21284
- Simon M -- CVE-2026-21289
- raywolfmaster -- CVE-2026-21290, CVE-2026-21291, CVE-2026-21292
- truff -- CVE-2026-21293, CVE-2026-21294, CVE-2026-21361
- schemonah -- CVE-2026-21295
- archyxsec -- CVE-2026-21311
- thlassche -- CVE-2026-21282
- 0x0.eth (0x0doteth) -- CVE-2026-21309
- fqdn --CVE-2026-21359
- icare -- CVE-2026-21360
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
