Adobe Commerce | अनुचित प्राधिकरण (CWE-863)

Adobe Commerce के संस्करण 2.4.9-alpha3 और पहले के संस्करणों में Incorrect Authorization (CVE-2026-21289) की भेद्यता मौजूद है। यह भेद्यता हमलावर को सुरक्षा उपायों को दरकिनार करने और डेटा तक अनधिकृत दृश्य पहुंच प्राप्त करने की अनुमति देती है। CVSS पैमाने पर इस भेद्यता की गंभीरता को 7.5 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। चिंता की बात यह है कि शोषण के लिए उपयोगकर्ता की बातचीत की आवश्यकता नहीं होती है, जिससे इसका शोषण करना आसान हो जाता है। इससे ग्राहकों की संवेदनशील जानकारी, लेनदेन डेटा और अन्य महत्वपूर्ण व्यावसायिक डेटा का खुलासा हो सकता है। Adobe Commerce का उपयोग करने वाले संगठनों को इस जोखिम को कम करने के लिए तत्काल कार्रवाई करनी चाहिए, क्योंकि निष्क्रियता के गंभीर परिणाम हो सकते हैं।

Organizations running Adobe Commerce, particularly those with custom extensions or integrations, are at risk. Shared hosting environments where multiple tenants share the same Commerce instance are also particularly vulnerable, as a compromise of one tenant could potentially lead to the compromise of others. Legacy configurations with outdated security policies and overly permissive user roles are also at increased risk.

• magento: Check Adobe Commerce logs for unusual access patterns or attempts to access restricted resources.

journalctl -u apache2 -f | grep "access denied"

• magento: Review user roles and permissions to ensure adherence to the principle of least privilege.

# Check user roles
bin/magento user:role:list

• generic web: Monitor access logs for requests to endpoints that should be protected by authorization checks.

curl -I https://your-commerce-site.com/admin/sensitive-data

• generic web: Examine response headers for unexpected status codes (e.g., 200 OK when a 403 Forbidden is expected).

1. 2026-03-11Disclosure

   disclosure

1. आरक्षित2025-12-12
2. प्रकाशित2026-03-11
3. EPSS अद्यतन2026-03-23

वर्तमान में, Adobe ने इस भेद्यता के लिए कोई फिक्स प्रदान नहीं किया है। प्राथमिक सिफारिश नवीनतम उपलब्ध Adobe Commerce संस्करण में अपडेट करना है, जैसे ही पैच जारी किया जाता है। इस बीच, अतिरिक्त सुरक्षा उपायों को लागू करने की सिफारिश की जाती है, जैसे कि एक्सेस नियंत्रण को मजबूत करना, उपयोगकर्ता अनुमतियों की समीक्षा करना और संदिग्ध व्यवहार के लिए सिस्टम गतिविधि की निगरानी करना। नियमित सुरक्षा ऑडिट संभावित कमजोरियों की पहचान करने और उन्हें दूर करने में मदद कर सकते हैं। Adobe सुरक्षा अपडेट के बारे में सूचित रहना और समय पर पैच लागू करना महत्वपूर्ण है। Web Application Firewall (WAF) को लागू करने से अतिरिक्त सुरक्षा की एक परत भी मिल सकती है।