Adobe Commerce | गलत प्राधिकरण (CWE-863)

Adobe Commerce (संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पुराने) में CVE-2026-21286 एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है क्योंकि इसमें गलत प्राधिकरण त्रुटि है। यह त्रुटि एक हमलावर को लागू सुरक्षा उपायों को दरकिनार करने और डेटा तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, हालांकि सीमित। मुख्य प्रभाव संवेदनशील जानकारी के संभावित जोखिम में है जिसे संरक्षित किया जाना चाहिए, जिससे स्टोर और उसके ग्राहकों के डेटा की गोपनीयता और अखंडता से समझौता हो सकता है। CVSS गंभीरता को 5.3 पर रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है, लेकिन तत्काल फिक्स की कमी (फिक्स: कोई नहीं) स्थिति को बढ़ाती है और इसके लिए प्राथमिकता वाली ध्यान देने की आवश्यकता होती है। शोषण के लिए उपयोगकर्ता इंटरैक्शन की आवश्यकता न होने के कारण, हमला आसान हो जाता है और दुर्भावनापूर्ण अभिनेताओं द्वारा इसका शोषण किए जाने का जोखिम बढ़ जाता है।

Organizations utilizing Adobe Commerce, particularly those with custom extensions or integrations that may have introduced additional authorization vulnerabilities, are at risk. Shared hosting environments using Adobe Commerce are also at increased risk due to the potential for cross-tenant exploitation.

• magento: Examine access logs for unusual patterns of requests to restricted resources. • magento: Review user roles and permissions to ensure they are correctly configured and follow the principle of least privilege. • generic web: Monitor response headers for unexpected status codes (e.g., 200 OK when access should be denied). • generic web: Use curl to test access to protected endpoints with unauthorized user credentials.

curl -u 'unauthorized_user:password' https://your-commerce-site.com/restricted-resource

1. 2026-03-11Disclosure

   disclosure

1. आरक्षित2025-12-12
2. प्रकाशित2026-03-11
3. EPSS अद्यतन2026-03-23

चूंकि प्रभावित Adobe Commerce संस्करणों में CVE-2026-21286 के लिए कोई आधिकारिक फिक्स (फिक्स: कोई नहीं) नहीं है, इसलिए जोखिम को कम करने के लिए अस्थायी शमन उपायों को लागू करने की सिफारिश की जाती है। इन उपायों में प्लेटफ़ॉर्म के भीतर उपयोगकर्ता अनुमतियों और भूमिकाओं की पूरी समीक्षा करना शामिल है, यह सुनिश्चित करना कि केवल न्यूनतम आवश्यक विशेषाधिकार प्रदान किए गए हैं। संदिग्ध गतिविधि और संभावित शोषण प्रयासों का पता लगाने के लिए एक मजबूत सुरक्षा निगरानी प्रणाली लागू करना महत्वपूर्ण है। इसके अतिरिक्त, अविश्वसनीय स्रोतों से प्लेटफ़ॉर्म तक पहुंच को सीमित करने के लिए सख्त फ़ायरवॉल नियमों को लागू करने की सिफारिश की जाती है। अंत में, किसी घटना की स्थिति में जांच को सुविधाजनक बनाने के लिए सभी सिस्टम गतिविधियों का विस्तृत रिकॉर्ड रखना उचित है। इस भेद्यता के संबंध में Adobe Commerce से आधिकारिक घोषणाओं पर नज़र रखना और उपलब्ध होते ही फिक्स लागू करना महत्वपूर्ण है।