Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
La vulnérabilité d'Incorrect Authorization (CVE-2026-21285) touche Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 et les versions antérieures jusqu'à 2.4.4-p16. Cette faille permet à un attaquant non privilégié de contourner certaines mesures de sécurité et d'obtenir un accès limité non autorisé à une fonctionnalité. L'exploitation de cette vulnérabilité ne nécessite pas d'interaction de l'utilisateur.
Cette vulnérabilité d'Incorrect Authorization permet à un attaquant de contourner les mécanismes d'autorisation mis en place dans Adobe Commerce. Un attaquant pourrait exploiter cette faille pour accéder à des fonctionnalités auxquelles il ne devrait pas avoir accès, potentiellement compromettant l'intégrité des données ou la disponibilité du service. Bien que l'exploitation ne nécessite pas d'interaction de l'utilisateur, elle peut être exploitée à distance, augmentant le risque d'attaque. L'impact précis dépendra de la fonctionnalité spécifique contournée et des privilèges qui peuvent être obtenus.
La vulnérabilité CVE-2026-21285 a été rendue publique le 11 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de PoC publics largement disponibles. La probabilité d'exploitation est considérée comme faible à modérée, compte tenu de la nécessité d'une connaissance approfondie de l'architecture d'Adobe Commerce et de la complexité du contournement des mécanismes d'autorisation.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are vulnerable. Shared hosting environments utilizing Adobe Commerce are also at increased risk due to the potential for cross-tenant exploitation.
• magento / server:
# Check for unauthorized access attempts in Magento logs
grep -i 'authorization failure' /var/log/magento/system.log• generic web:
# Check for unusual requests to restricted endpoints using curl
curl -I https://your-magento-site.com/admin/some-restricted-resourcedisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Adobe a publié des correctifs pour les versions vulnérables. Si la mise à jour n'est pas immédiatement possible, examinez attentivement les configurations de sécurité existantes pour identifier et renforcer les contrôles d'accès. Bien qu'il n'existe pas de contournement direct, une analyse approfondie des permissions et des rôles utilisateurs peut aider à limiter l'impact potentiel. Après la mise à jour, vérifiez l'intégrité des fichiers système et examinez les journaux d'audit pour détecter toute activité suspecte.
Mettez à jour Adobe Commerce vers la dernière version disponible. Consultez le bulletin de sécurité d'Adobe pour plus d'informations et les versions corrigées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21285 is a MEDIUM severity vulnerability in Adobe Commerce allowing attackers to bypass security measures and gain limited unauthorized access without user interaction.
You are affected if you are running Adobe Commerce versions 0–2.4.4-p16. Check your version and upgrade to a patched release as soon as possible.
Upgrade to a patched version of Adobe Commerce. Consult the official Adobe Security Bulletin for the specific version containing the fix.
As of March 11, 2026, there are no publicly known active exploitation campaigns targeting CVE-2026-21285.
Refer to the official Adobe Security Bulletin for details and patching instructions: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.