Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans Adobe Commerce. Cette faille permet à un attaquant privilégié de manipuler les requêtes côté serveur, potentiellement contournant des mesures de sécurité et accédant à des ressources sensibles. Les versions concernées sont celles inférieures ou égales à 2.4.4-p16. Une correction est disponible et son application est recommandée.
L'exploitation de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur Adobe Commerce à effectuer des requêtes vers des destinations arbitraires. Cela peut conduire à la divulgation d'informations sensibles, à l'accès à des ressources internes non destinées à être accessibles publiquement, ou même à l'exécution de code malveillant si le serveur est configuré de manière vulnérable. Un attaquant pourrait, par exemple, interroger des services internes, accéder à des fichiers de configuration contenant des informations d'identification, ou tenter de compromettre d'autres systèmes connectés au réseau. Le risque est amplifié si le serveur Adobe Commerce est utilisé comme point d'entrée vers un réseau interne.
Cette vulnérabilité a été rendue publique le 11 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'un accès privilégié et de la complexité potentielle de l'exploitation. Aucun Proof of Concept (PoC) public n'est actuellement disponible.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. This includes businesses using older, unsupported versions of Adobe Commerce, as well as those with complex configurations or custom extensions that may exacerbate the vulnerability. Shared hosting environments where multiple tenants share the same server infrastructure are also particularly vulnerable.
• linux / server:
journalctl -u apache2 -f | grep -i "server-side request forgery"• generic web:
curl -I <target_url> | grep -i "server-side request forgery"disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Adobe a publié des correctifs pour les versions vulnérables. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place, telles que la restriction des adresses IP autorisées à effectuer des requêtes sortantes, la configuration de pare-feu pour bloquer les requêtes suspectes, et la mise en œuvre de politiques de sécurité strictes pour limiter les privilèges des utilisateurs. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous que la nouvelle version est correctement configurée.
Mettez à jour Adobe Commerce vers la dernière version disponible. Consultez le bulletin de sécurité d'Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21293 is a Server-Side Request Forgery (SSRF) vulnerability affecting Adobe Commerce versions 2.4.4-p16 and earlier, allowing attackers to bypass security features and access unauthorized resources.
You are affected if you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier.
Upgrade to a patched version of Adobe Commerce as recommended by Adobe. If immediate upgrading isn't possible, implement temporary workarounds like restricting outbound network access and configuring a WAF.
There is currently no indication that CVE-2026-21293 is being actively exploited, but ongoing monitoring is recommended.
Refer to the official Adobe Security Bulletin for details and updates: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.