HIGHCVE-2026-21289CVSS 7.5

Adobe Commerce | 不正确的授权 (CWE-863)

平台

adobe

组件

adobe-commerce

修复版本

2.4.5

2.4.6

2.4.7

2.4.8

2.4.9

2.4.10

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-21289 是Adobe Commerce中发现的一个权限错误漏洞。攻击者可以利用此漏洞绕过安全措施，并获得未授权的数据查看访问权限。受影响的版本包括0–2.4.4-p16。此漏洞的利用不需要用户交互。

影响与攻击场景

Adobe Commerce 的版本 2.4.9-alpha3 及更早版本存在 Incorrect Authorization (CVE-2026-21289) 漏洞。此漏洞允许攻击者绕过安全措施并获得对数据的未经授权的查看访问权限。该漏洞的严重程度在 CVSS 量表上评为 7.5，表明存在重大风险。令人担忧的是，漏洞利用不需要用户交互，从而使其更容易被利用。这可能导致客户敏感信息、交易数据和其他关键业务数据的泄露。使用 Adobe Commerce 的组织应立即采取措施减轻此风险，否则不作为可能导致严重后果。

利用背景

此漏洞源于 Adobe Commerce 代码中的不正确的授权。攻击者可以通过发送旨在绕过访问控制的恶意请求来利用此漏洞。由于漏洞利用不需要用户交互，因此攻击者可以发起大规模的自动化攻击。这意味着攻击者可以扫描大量 Adobe Commerce 实例以查找此漏洞并加以利用，而无需欺骗用户。缺乏适当的身份验证允许攻击者访问通常受保护的数据，从而对信息安全构成重大风险。

哪些人处于风险中翻译中…

Organizations running Adobe Commerce, particularly those with custom extensions or integrations, are at risk. Shared hosting environments where multiple tenants share the same Commerce instance are also particularly vulnerable, as a compromise of one tenant could potentially lead to the compromise of others. Legacy configurations with outdated security policies and overly permissive user roles are also at increased risk.

检测步骤翻译中…

• magento: Check Adobe Commerce logs for unusual access patterns or attempts to access restricted resources.

journalctl -u apache2 -f | grep "access denied"

• magento: Review user roles and permissions to ensure adherence to the principle of least privilege.

# Check user roles
bin/magento user:role:list

• generic web: Monitor access logs for requests to endpoints that should be protected by authorization checks.

curl -I https://your-commerce-site.com/admin/sensitive-data

• generic web: Examine response headers for unexpected status codes (e.g., 200 OK when a 403 Forbidden is expected).

攻击时间线

2026-03-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.13% (33% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件adobe-commerce

供应商Adobe

影响范围修复版本

0 – 2.4.4-p162.4.5

2.4.5 – 2.4.5-p152.4.6

2.4.6 – 2.4.6-p132.4.7

2.4.7 – 2.4.7-p82.4.8

2.4.8 – 2.4.8-p32.4.9

2.4.9-alpha1 – 2.4.9-alpha32.4.10

弱点分类 (CWE)

CWE-863

时间线

已保留2025-12-12
发布日期2026-03-11
EPSS 更新日期2026-03-23

未修复 — 披露已74天

缓解措施和替代方案

目前，Adobe 尚未为此漏洞提供修复程序（fix）。主要建议是，在发布补丁后立即升级到最新版本的 Adobe Commerce。同时，建议实施额外的安全措施，例如加强访问控制、审查用户权限以及监控系统活动是否存在可疑行为。定期进行安全审计可以帮助识别和解决潜在的漏洞。重要的是，随时了解 Adobe 的安全更新并及时应用补丁。实施 Web Application Firewall (WAF) 也可以提供额外的保护层。

修复方法翻译中…

Actualice Adobe Commerce a una versión posterior a 2.4.4-p16, 2.4.5-p15, 2.4.6-p13, 2.4.7-p8, 2.4.8-p3 o 2.4.9-alpha3. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-21289 是什么 — Adobe Commerce 中的漏洞？

版本 2.4.9-alpha3、2.4.8-p3、2.4.7-p8、2.4.6-p13、2.4.5-p15、2.4.4-p16 及更早版本会受到影响。

Adobe Commerce 中的 CVE-2026-21289 是否会影响我？

目前，Adobe 尚未提供修复程序。请监控 Adobe 的安全更新。

如何修复 Adobe Commerce 中的 CVE-2026-21289？

实施额外的安全措施，例如加强访问控制和系统监控。

CVE-2026-21289 是否正在被积极利用？

检查服务器日志是否存在异常活动，并进行安全扫描。

在哪里可以找到 Adobe Commerce 关于 CVE-2026-21289 的官方安全通告？

Web Application Firewall (WAF) 可以帮助阻止恶意请求并保护您的网站。