MEDIUMCVE-2026-21286CVSS 5.3

Adobe Commerce | 不適切な認証 (CWE-863)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5

2.4.6

2.4.7

2.4.8

2.4.9

2.4.10

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21286は、Adobe Commerceにおける不正な認証バイパス脆弱性です。この脆弱性を悪用されると、攻撃者はセキュリティ機能を回避し、限定的な不正アクセス権を得る可能性があります。影響を受けるバージョンは、2.4.9-alpha3以前、2.4.8-p3、2.4.7-p8、2.4.6-p13、2.4.5-p15、2.4.4-p16です。Adobeは最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がAdobe Commerceのセキュリティ機能を迂回し、不正なアクセス権を得ることを可能にします。攻撃者は、機密データへのアクセス、設定の変更、さらにはシステムへの影響を及ぼす可能性のある操作を実行できる可能性があります。この脆弱性の悪用は、ユーザーの操作を必要としません。攻撃者は、不正なリクエストを送信するだけで、脆弱性を悪用できる可能性があります。この脆弱性は、類似の認証バイパス攻撃と同様に、機密情報の漏洩やシステムの改ざんにつながる可能性があります。

悪用の状況

この脆弱性は、2026年3月11日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations utilizing Adobe Commerce, particularly those with custom extensions or integrations that may have introduced additional authorization vulnerabilities, are at risk. Shared hosting environments using Adobe Commerce are also at increased risk due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• magento: Examine access logs for unusual patterns of requests to restricted resources. • magento: Review user roles and permissions to ensure they are correctly configured and follow the principle of least privilege. • generic web: Monitor response headers for unexpected status codes (e.g., 200 OK when access should be denied). • generic web: Use curl to test access to protected endpoints with unauthorized user credentials.

curl -u 'unauthorized_user:password' https://your-commerce-site.com/restricted-resource

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5

2.4.5 – 2.4.5-p152.4.6

2.4.6 – 2.4.6-p132.4.7

2.4.7 – 2.4.7-p82.4.8

2.4.8 – 2.4.8-p32.4.9

2.4.9-alpha1 – 2.4.9-alpha32.4.10

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2025-12-12
公開日2026-03-11
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への対応策として、Adobe Commerceを最新バージョンにアップデートすることが最も効果的です。アップデートが利用できない場合は、WAF（Web Application Firewall）を導入し、不正な認証リクエストをブロックするルールを設定することを検討してください。また、アクセス制御リスト（ACL）を適切に設定し、不要なアクセス権を制限することも有効です。セキュリティ監査を実施し、脆弱性の有無を定期的に確認することも重要です。アップデート後、アクセスログを監視し、不正なアクセスがないか確認してください。

修正方法

Adobe Commerce を 2.4.4-p16, 2.4.5-p15, 2.4.6-p13, 2.4.7-p8, 2.4.8-p3 または 2.4.9-alpha3 より後のバージョンにアップデートしてください。詳細と具体的なアップデート手順については、Adobe セキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21286 — 不正な認証バイパス in Adobe Commerceとは何ですか？

CVE-2026-21286は、Adobe Commerceのバージョン2.4.9-alpha3以前におけるセキュリティ機能を回避する脆弱性です。攻撃者はこれを利用して不正なアクセス権を得る可能性があります。

CVE-2026-21286 in Adobe Commerceの影響はありますか？

はい、影響があります。攻撃者はセキュリティ機能を回避し、限定的な不正アクセス権を得る可能性があります。最新バージョンへのアップデートが必要です。

CVE-2026-21286 in Adobe Commerceを修正するにはどうすればよいですか？

Adobe Commerceを最新バージョンにアップデートしてください。アップデートが利用できない場合は、WAFを導入し、不正なアクセスをブロックするルールを設定してください。

CVE-2026-21286は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2026-21286に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobe Security Bulletinを参照してください。詳細はAdobeの公式ウェブサイトで確認してください。