MEDIUMCVE-2026-21293CVSS 5.5

Adobe Commerce | サーバーサイドリクエストフォージェリ (SSRF) (CWE-918)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Adobe Commerceのバージョン2.4.4-p16以前に、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在します。この脆弱性は、攻撃者がサーバー側のリクエストを操作し、本来アクセスできないリソースにアクセスすることを可能にする可能性があります。影響を受けるバージョンは2.4.9-alpha3より前のすべてのバージョンです。2026年3月11日に公開され、Adobe Commerceのバージョン2.4.9-alpha3以降に修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がAdobe Commerceサーバーを介して内部リソースや外部サービスへの不正なアクセスを試みることを可能にします。例えば、内部管理インターフェースへのアクセス、機密情報の取得、さらには他のシステムへの攻撃の踏み台として利用される可能性があります。攻撃者はユーザーの操作を必要とせず、直接リクエストを送信することで脆弱性を悪用できます。この脆弱性の悪用により、機密データ漏洩、システム改ざん、サービス停止などの深刻な被害が発生する可能性があります。

悪用の状況

この脆弱性は、2026年3月11日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は悪用が比較的容易であるため、今後悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握することが重要です。

リスク対象者翻訳中…

Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. This includes businesses using older, unsupported versions of Adobe Commerce, as well as those with complex configurations or custom extensions that may exacerbate the vulnerability. Shared hosting environments where multiple tenants share the same server infrastructure are also particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u apache2 -f | grep -i "server-side request forgery"

• generic web:

curl -I <target_url> | grep -i "server-side request forgery"

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-12-12
公開日2026-03-11
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、Adobe Commerceをバージョン2.4.9-alpha3以降にアップデートすることです。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することを推奨します。また、サーバー側のネットワーク設定を見直し、不要な外部へのアクセスを制限することも有効です。アップデート後、システムログを確認し、不正なリクエストがないか検証してください。

修正方法

Adobe Commerce を最新バージョンにアップデートしてください。 詳細と具体的なアップデート手順については、Adobe のセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21293 — SSRF in Adobe Commerceとは何ですか？

CVE-2026-21293は、Adobe Commerce 2.4.4-p16以前のバージョンに存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー側のリクエストを操作し、不正なリソースにアクセスできる可能性があります。

CVE-2026-21293 in Adobe Commerceの影響はありますか？

はい、Adobe Commerceのバージョン2.4.4-p16以前を使用している場合は、この脆弱性の影響を受ける可能性があります。攻撃者は内部リソースへの不正アクセスや、他のシステムへの攻撃の踏み台として利用する可能性があります。

CVE-2026-21293 in Adobe Commerceを修正するにはどうすればよいですか？

この脆弱性を修正するには、Adobe Commerceをバージョン2.4.9-alpha3以降にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、代替の対策を検討してください。

CVE-2026-21293は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は悪用が比較的容易であるため、今後悪用される可能性は否定できません。最新の情報を常に監視することが重要です。

CVE-2026-21293に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobe Security Bulletinに関する詳細は、Adobeの公式ウェブサイトで確認できます。https://www.adobe.com/security/bulletins/ にアクセスし、CVE-2026-21293に関する情報を検索してください。

NextGuard

脆弱性

これらのメトリクスの意味は？

Attack Vector: ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity: 低 — 特別な条件不要。安定して悪用可能。
Privileges Required: 高 — 管理者または特権アカウントが必要。
User Interaction: なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope: 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality: 低 — 一部データへの部分的アクセス。
Integrity: 低 — 限定的な範囲でデータ変更可能。
Availability: なし — 可用性への影響なし。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン CVEを検索