Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
A vulnerabilidade CVE-2026-21285 é um bypass de autorização identificado em Adobe Commerce. Um atacante de baixo privilégio pode explorar essa falha para contornar medidas de segurança e obter acesso não autorizado limitado a um recurso específico. As versões afetadas incluem 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 e 2.4.4-p16 e versões anteriores. A correção oficial está disponível para mitigar o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante contorne as verificações de autorização implementadas no Adobe Commerce. Isso pode resultar em acesso não autorizado a funcionalidades ou dados que normalmente seriam restritos a usuários com permissões específicas. Embora a exploração não exija interação do usuário, o impacto pode variar dependendo do recurso específico que é acessado indevidamente. Um atacante pode, por exemplo, obter informações confidenciais, modificar dados ou realizar outras ações não autorizadas, comprometendo a integridade e a confidencialidade do sistema. A extensão do impacto dependerá do nível de acesso concedido pelo bypass e da sensibilidade dos dados envolvidos.
A vulnerabilidade foi divulgada em 11 de março de 2026. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi classificada como de severidade média (CVSS 4.3). A inclusão em KEV (Know Exploited Vulnerabilities) ou outras listas de prioridade ainda não foi confirmada.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are vulnerable. Shared hosting environments utilizing Adobe Commerce are also at increased risk due to the potential for cross-tenant exploitation.
• magento / server:
# Check for unauthorized access attempts in Magento logs
grep -i 'authorization failure' /var/log/magento/system.log• generic web:
# Check for unusual requests to restricted endpoints using curl
curl -I https://your-magento-site.com/admin/some-restricted-resourcedisclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A Adobe recomenda a atualização imediata para uma versão corrigida do Adobe Commerce. A versão exata da correção não foi especificada, portanto, consulte o site oficial da Adobe para obter as informações mais recentes. Enquanto a atualização não for possível, considere implementar medidas de mitigação, como a revisão e o reforço das regras de autorização existentes para garantir que as permissões sejam aplicadas corretamente. Implementar um Web Application Firewall (WAF) com regras personalizadas para detectar e bloquear tentativas de bypass de autorização também pode ajudar a reduzir o risco. Monitore os logs de acesso e auditoria em busca de atividades suspeitas que possam indicar uma tentativa de exploração.
Atualize o Adobe Commerce para a última versão disponível. Consulte o boletim de segurança da Adobe para obter mais informações e as versões corrigidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21285 is a MEDIUM severity vulnerability in Adobe Commerce allowing attackers to bypass security measures and gain limited unauthorized access without user interaction.
You are affected if you are running Adobe Commerce versions 0–2.4.4-p16. Check your version and upgrade to a patched release as soon as possible.
Upgrade to a patched version of Adobe Commerce. Consult the official Adobe Security Bulletin for the specific version containing the fix.
As of March 11, 2026, there are no publicly known active exploitation campaigns targeting CVE-2026-21285.
Refer to the official Adobe Security Bulletin for details and patching instructions: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.