Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada em versões do Adobe Commerce até 2.4.4-p16. Essa falha permite que um atacante com privilégios elevados manipule requisições do lado do servidor, potencialmente acessando recursos não autorizados. A exploração não requer interação do usuário, tornando-a particularmente perigosa. A Adobe lançou correções e recomenda a atualização imediata.
A vulnerabilidade SSRF em Adobe Commerce permite que um atacante, com privilégios suficientes, realize requisições para recursos internos que normalmente não seriam acessíveis externamente. Isso pode levar à exposição de informações sensíveis, como credenciais de API, chaves de acesso a serviços de nuvem, ou até mesmo acesso a outros sistemas internos. Um atacante poderia, por exemplo, escanear a rede interna em busca de outros serviços vulneráveis ou realizar ataques de negação de serviço (DoS) contra recursos internos. A ausência de interação do usuário simplifica a exploração, tornando o ataque mais fácil de executar em larga escala.
Esta vulnerabilidade foi divulgada em 11 de março de 2026. Não há informações disponíveis sobre exploração ativa em campanhas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da SSRF a torna um alvo potencial para atacantes. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. This includes businesses using older, unsupported versions of Adobe Commerce, as well as those with complex configurations or custom extensions that may exacerbate the vulnerability. Shared hosting environments where multiple tenants share the same server infrastructure are also particularly vulnerable.
• linux / server:
journalctl -u apache2 -f | grep -i "server-side request forgery"• generic web:
curl -I <target_url> | grep -i "server-side request forgery"disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A principal mitigação para esta vulnerabilidade é a atualização para uma versão do Adobe Commerce que inclua a correção. A Adobe recomenda a versão 2.4.9-alpha3 ou superior. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso à rede interna a partir do servidor de aplicação. Implementar regras de firewall para bloquear requisições para endereços IP internos ou serviços sensíveis pode ajudar a reduzir o impacto. Monitore os logs do servidor em busca de requisições suspeitas originadas do Adobe Commerce.
Atualize o Adobe Commerce para a versão mais recente disponível. Consulte o boletim de segurança da Adobe para obter mais detalhes e instruções específicas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21293 is a Server-Side Request Forgery (SSRF) vulnerability affecting Adobe Commerce versions 2.4.4-p16 and earlier, allowing attackers to bypass security features and access unauthorized resources.
You are affected if you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier.
Upgrade to a patched version of Adobe Commerce as recommended by Adobe. If immediate upgrading isn't possible, implement temporary workarounds like restricting outbound network access and configuring a WAF.
There is currently no indication that CVE-2026-21293 is being actively exploited, but ongoing monitoring is recommended.
Refer to the official Adobe Security Bulletin for details and updates: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.