प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21285 Adobe Commerce में पाई गई एक गलत प्राधिकरण भेद्यता है, जिससे हमलावर सुरक्षा उपायों को दरकिनार कर सकते हैं और सीमित अनधिकृत पहुंच प्राप्त कर सकते हैं। यह भेद्यता Adobe Commerce के संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पुराने संस्करणों को प्रभावित करती है। इस भेद्यता का शोषण करने के लिए उपयोगकर्ता की कोई क्रिया की आवश्यकता नहीं है।
Adobe Commerce में CVE-2026-21285 कमजोरियाँ अनुचित प्राधिकरण के कारण सुरक्षा बाईपास का जोखिम पैदा करती हैं। यह 2.4.9-alpha3 और पुराने संस्करणों, जिनमें 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 और 2.4.4-p16 शामिल हैं, को प्रभावित करता है। एक कम विशेषाधिकार प्राप्त हमलावर इस कमजोरी का फायदा उठाकर लागू सुरक्षा उपायों को दरकिनार कर कुछ कार्यों तक अनधिकृत पहुंच प्राप्त कर सकता है। इस कमजोरियों की गंभीरता को CVSS 4.3 के रूप में रेट किया गया है, जो मध्यम जोखिम दर्शाता है। महत्वपूर्ण बात यह है कि इस कमजोरियों का शोषण करने के लिए उपयोगकर्ता की बातचीत की आवश्यकता नहीं होती है, जिससे स्वचालित हमलों का जोखिम बढ़ जाता है। वर्तमान में कोई फिक्स उपलब्ध नहीं होने के कारण, संभावित प्रभाव को कम करने के लिए शमन प्रयासों को प्राथमिकता देना आवश्यक है।
यह कमजोरियाँ अनुचित प्राधिकरण पर आधारित है, जो कम विशेषाधिकार प्राप्त हमलावर को सुरक्षा नियंत्रणों को दरकिनार करने की अनुमति देती है। हमले के लिए उपयोगकर्ता की बातचीत की आवश्यकता नहीं होती है, जिससे स्वचालन और स्केलेबिलिटी की सुविधा मिलती है। यह माना जाता है कि हमलावर के पास Adobe Commerce के आंतरिक आर्किटेक्चर का ज्ञान है और वह प्राधिकरण तर्क में कमजोरियों की पहचान कर सकता है। शोषण में अनुरोध मापदंडों में हेरफेर या प्रतिबंधित कार्यों तक पहुंचने के लिए कम विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में प्रतिरूपण शामिल हो सकता है। कोई फिक्स न होने का मतलब है कि कमजोर प्रणालियाँ तब तक इस प्रकार के हमले के प्रति संवेदनशील रहती हैं जब तक कि एक सुधार लागू नहीं किया जाता है।
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are vulnerable. Shared hosting environments utilizing Adobe Commerce are also at increased risk due to the potential for cross-tenant exploitation.
• magento / server:
# Check for unauthorized access attempts in Magento logs
grep -i 'authorization failure' /var/log/magento/system.log• generic web:
# Check for unusual requests to restricted endpoints using curl
curl -I https://your-magento-site.com/admin/some-restricted-resourcedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि CVE-2026-21285 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं है, इसलिए अस्थायी शमन उपायों को लागू करने की दृढ़ता से अनुशंसा की जाती है। इसमें Adobe Commerce के भीतर एक्सेस नियंत्रण और अनुमति कॉन्फ़िगरेशन की गहन समीक्षा शामिल है। हमले की सतह को कम करने के लिए इनपुट सत्यापन और प्राधिकरण तर्क को मजबूत करना महत्वपूर्ण है। सिस्टम लॉग की सक्रिय रूप से निगरानी संदिग्ध गतिविधि के लिए मदद कर सकती है और संभावित शोषण प्रयासों का पता लगाने और प्रतिक्रिया करने में मदद कर सकती है। इसके अतिरिक्त, संबंधित घटकों और Adobe Commerce निर्भरताओं के लिए उपलब्ध नवीनतम सुरक्षा अपडेट लागू करने की सिफारिश की जाती है, हालांकि यह कमजोरियों को सीधे हल नहीं करता है। Adobe से फिक्स के बारे में किसी भी आधिकारिक घोषणा पर नज़र रखना महत्वपूर्ण है।
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más información y las versiones corregidas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और सभी पुराने संस्करण प्रभावित हैं।
इसका मतलब है कि एक हमलावर सिस्टम को सुरक्षित रखने के लिए डिज़ाइन किए गए सुरक्षा उपायों को दरकिनार कर सकता है।
वर्तमान में, इस कमजोरियों के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं है।
अस्थायी शमन उपायों को लागू करें, जैसे कि एक्सेस नियंत्रण की समीक्षा करना और सिस्टम लॉग की निगरानी करना।
Adobe सुरक्षा सलाह के लिए सदस्यता लें और Adobe Commerce वेबसाइट को नियमित रूप से देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।