Adobe Commerce | सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) (CWE-918)

यह SSRF भेद्यता हमलावरों को Adobe Commerce सर्वर के माध्यम से आंतरिक संसाधनों तक पहुँचने की अनुमति देती है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। हमलावर आंतरिक सेवाओं को उजागर कर सकते हैं, संवेदनशील डेटा तक पहुँच सकते हैं, या अन्य आंतरिक प्रणालियों पर हमला करने के लिए सर्वर का उपयोग कर सकते हैं। चूंकि शोषण के लिए उपयोगकर्ता की कोई क्रिया की आवश्यकता नहीं है, इसलिए यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर बिना किसी उपयोगकर्ता के हस्तक्षेप के इसका फायदा उठा सकते हैं। यह भेद्यता आंतरिक नेटवर्क में आगे बढ़ने और महत्वपूर्ण डेटा को उजागर करने की क्षमता रखती है।

Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. This includes businesses using older, unsupported versions of Adobe Commerce, as well as those with complex configurations or custom extensions that may exacerbate the vulnerability. Shared hosting environments where multiple tenants share the same server infrastructure are also particularly vulnerable.

• linux / server:

journalctl -u apache2 -f | grep -i "server-side request forgery"

• generic web:

curl -I <target_url> | grep -i "server-side request forgery"

1. 2026-03-11Disclosure

   disclosure

1. आरक्षित2025-12-12
2. प्रकाशित2026-03-11
3. EPSS अद्यतन2026-03-23

CVE-2026-21293 के लिए प्राथमिक शमन उपाय Adobe Commerce को संस्करण 2.4.9-alpha3 या बाद के संस्करण में अपडेट करना है, जिसमें यह भेद्यता ठीक की गई है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करके SSRF हमलों को कम किया जा सकता है जो आंतरिक संसाधनों तक पहुँचने वाले अनुरोधों को ब्लॉक करता है। इसके अतिरिक्त, आंतरिक सेवाओं तक पहुँच को सीमित करने और नेटवर्क विभाजन लागू करने से हमले की सतह को कम किया जा सकता है। अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम की सुरक्षा स्कैनिंग करें।