Компания Adobe выпустила внеплановый пакет исправлений для платформы электронной коммерции Adobe Commerce, закрыв сразу шесть уязвимостей, пять из которых получили высокий уровень опасности по шкале CVSS. Эти проблемы затрагивают все актуальные ветки продукта, включая версии 2.4.9-beta1, 2.4.8-p4, 2.4.7-p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и более ранние. Учитывая, что на Adobe Commerce построены тысячи интернет-магазинов по всему миру, в том числе крупные торговые площадки, операторам сайтов необходимо как можно скорее установить обновления.
Детали уязвимостей
Основная угроза связана с тремя типами дефектов: некорректная авторизация, подделка запроса со стороны сервера (SSRF) и неконтролируемое потребление системных ресурсов. Две уязвимости, получившие идентификаторы CVE-2026-34645 и CVE-2026-34646, относятся к категории "Incorrect Authorization" (некорректная авторизация). Каждая из них имеет оценку 7,5 балла по CVSS v3. Злоумышленник может использовать их для обхода механизмов проверки прав доступа и получения возможности записи данных на сервер без какого-либо взаимодействия с пользователем. Иными словами, атака может быть проведена полностью автоматически, что делает её особенно опасной для сайтов, доступных из интернета. При успешной эксплуатации нарушитель способен изменить содержимое страниц, внедрить вредоносный код или модифицировать конфигурацию магазина.
Следующая уязвимость, CVE-2026-34647, связана с техникой Server-Side Request Forgery (подделка запроса со стороны сервера, SSRF). Её рейтинг чуть ниже - 7,4 балла, однако вектор атаки смещён на чтение данных, а не запись. Злоумышленник может обмануть сервер, заставив его отправить запрос на произвольный внутренний ресурс - например, на локальную службу метаданных облачного провайдера или панель управления базами данных. Для этого требуется взаимодействие с жертвой: пользователь должен перейти по специально сформированной ссылке или открыть инфицированную веб-страницу. Тем не менее, в современных атаках такой сценарий часто реализуется через фишинговые письма или компрометацию сторонних ресурсов. В результате злоумышленник может получить доступ к конфиденциальным данным, которые не должны быть видны извне: ключи API, токены аутентификации, содержимое файлов на сервере.
Третья группа включает три уязвимости, объединённые общим признаком - неконтролируемое потребление системных ресурсов (CVE-2026-34648, CVE-2026-34649 и CVE-2026-34650). Каждая из них оценена в 7,5 балла и не требует участия пользователя. Вредоносный запрос может вызвать исчерпание оперативной памяти, процессорного времени или дискового пространства, что приведёт к отказу в обслуживании (DoS). В случае с интернет-магазином это означает полную недоступность сайта для покупателей и, как следствие, прямые финансовые потери. Примечательно, что объединение трёх однотипных дефектов свидетельствует о системных проблемах в обработке входящих данных в платформе.
Все шесть уязвимостей затрагивают одинаковый набор версий, что упрощает задачу администраторам: для защиты достаточно установить последние доступные патчи. Adobe уже выпустила обновления для каждой поддерживаемой ветки, и ссылки на них опубликованы в официальном бюллетене безопасности APSB26-49. Эксперты рекомендуют не откладывать обновление, так как уязвимости типа некорректной авторизации и SSRF активно используются атакующими в целевых атаках на платформы электронной коммерции.
Какие практические шаги можно предпринять прямо сейчас? Во-первых, проверить версию установленной платформы и применить патч в ближайшее время. Во-вторых, до установки обновления временно ограничить доступ к административной панели по IP-адресам и усилить мониторинг подозрительных запросов. В-третьих, обратить внимание на конфигурацию веб-сервера и межсетевого экрана, чтобы снизить риск SSRF-атак - например, блокировать исходящие запросы к внутренним ресурсам из приложения. Впрочем, все эти меры лишь временные, и полное исправление возможно только после обновления.
Таким образом, Adobe Commerce вновь оказалась в центре внимания специалистов по информационной безопасности. Комбинация уязвимостей, охватывающих как целостность данных, так и доступность сервиса, делает текущий патч критически важным для любого бизнеса, использующего эту платформу. Следите за обновлениями и не откладывайте защиту на потом - стоимость простоя интернет-магазина может многократно превысить время на установку патча.
Ссылки
