Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.10
A vulnerabilidade de Autorização Incorreta no Adobe Commerce pode resultar em uma falha de bypass de segurança. Um atacante pode explorar essa vulnerabilidade para contornar medidas de segurança e obter acesso não autorizado a dados. A exploração desta questão não requer interação do usuário.
A vulnerabilidade de Autorização Incorreta (CVE-2026-21289) no Adobe Commerce afeta as versões 2.4.9-alpha3 e anteriores. Esta falha permite que um atacante contorne as medidas de segurança e obtenha acesso não autorizado a dados. A gravidade da vulnerabilidade é classificada como 7.5 na escala CVSS, indicando um risco significativo. O que é preocupante é que a exploração não requer interação do usuário, facilitando sua exploração. Isso pode resultar na exposição de informações confidenciais de clientes, dados de transações e outros dados críticos para o negócio. Empresas que utilizam o Adobe Commerce devem tomar medidas imediatas para mitigar este risco, pois a falta de ação pode ter consequências graves.
A vulnerabilidade se baseia em uma autorização incorreta no código do Adobe Commerce. Um atacante pode explorar esta falha enviando solicitações maliciosas projetadas para contornar os controles de acesso. Devido ao fato de que a exploração não requer interação do usuário, um atacante pode lançar ataques automatizados em grande escala. Isso significa que um atacante pode digitalizar um grande número de instâncias do Adobe Commerce em busca desta vulnerabilidade e explorá-la sem a necessidade de enganar os usuários. A falta de autenticação adequada permite que os atacantes acessem dados que normalmente estariam protegidos, representando um risco significativo para a segurança da informação.
Organizations running Adobe Commerce, particularly those with custom extensions or integrations, are at risk. Shared hosting environments where multiple tenants share the same Commerce instance are also particularly vulnerable, as a compromise of one tenant could potentially lead to the compromise of others. Legacy configurations with outdated security policies and overly permissive user roles are also at increased risk.
• magento: Check Adobe Commerce logs for unusual access patterns or attempts to access restricted resources.
journalctl -u apache2 -f | grep "access denied"• magento: Review user roles and permissions to ensure adherence to the principle of least privilege.
# Check user roles
bin/magento user:role:list• generic web: Monitor access logs for requests to endpoints that should be protected by authorization checks.
curl -I https://your-commerce-site.com/admin/sensitive-data• generic web: Examine response headers for unexpected status codes (e.g., 200 OK when a 403 Forbidden is expected).
disclosure
Status do Exploit
EPSS
0.13% (percentil 33%)
CISA SSVC
Vetor CVSS
Atualmente, a Adobe não forneceu uma correção (fix) para esta vulnerabilidade. A recomendação principal é atualizar para a versão mais recente do Adobe Commerce disponível assim que uma correção for publicada. Enquanto isso, recomenda-se implementar medidas de segurança adicionais, como fortalecer os controles de acesso, revisar as permissões do usuário e monitorar a atividade do sistema em busca de comportamentos suspeitos. Realizar auditorias de segurança periódicas pode ajudar a identificar e abordar possíveis vulnerabilidades. É crucial manter-se informado sobre as atualizações de segurança da Adobe e aplicar as correções de forma oportuna. A implementação de um firewall de aplicativos web (WAF) também pode fornecer uma camada adicional de proteção.
Actualice Adobe Commerce a una versión posterior a 2.4.4-p16, 2.4.5-p15, 2.4.6-p13, 2.4.7-p8, 2.4.8-p3 o 2.4.9-alpha3. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 e versões anteriores são vulneráveis.
Atualmente, a Adobe não forneceu uma solução. Recomenda-se monitorar as atualizações de segurança da Adobe.
Implemente medidas de segurança adicionais, como controles de acesso reforçados e monitoramento do sistema.
Revise os registros do servidor em busca de atividade incomum e realize uma análise de segurança.
Um Firewall de Aplicações Web (WAF) pode ajudar a bloquear solicitações maliciosas e proteger seu site.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.