Aggiornamento di sicurezza Magento APSB26-05 (10/03/26)

Adobe ha rilasciato un nuovo bollettino di sicurezza (APSB26-05) per Adobe Commerce e Magento Open Source, pubblicato il 10 marzo 2026 e classificato con priorità 2.
L’aggiornamento risolve vulnerabilità di gravità critica, importante e moderata che, se sfruttate, possono portare a escalation di privilegi, esecuzione di codice arbitrario, bypass dei controlli di sicurezza, denial‑of‑service applicativo e lettura non autorizzata del file system.

Prodotti e versioni interessate

Secondo Adobe, sono coinvolte le seguenti linee di prodotto e release:

Adobe Commerce
- 2.4.9‑alpha3 e precedenti
- 2.4.8‑p3 e precedenti
- 2.4.7‑p8 e precedenti
- 2.4.6‑p13 e precedenti
- 2.4.5‑p15 e precedenti
- 2.4.4‑p16 e precedenti
Adobe Commerce B2B
- 1.5.3‑alpha3 e precedenti
- 1.5.2‑p3 e precedenti
- 1.4.2‑p8 e precedenti
- 1.3.5‑p13 e precedenti
- 1.3.4‑p15 e precedenti
- 1.3.3‑p16 e precedenti
Magento Open Source
- 2.4.9‑alpha3
- 2.4.8‑p3 e precedenti
- 2.4.7‑p8 e precedenti
- 2.4.6‑p13 e precedenti
- 2.4.5‑p15 e precedenti

Se il tuo store rientra in uno di questi rami di versione, è necessario pianificare un aggiornamento quanto prima.

Tipologie di vulnerabilità corrette

L’aggiornamento APSB26-05 include fix per diverse classi di vulnerabilità di sicurezza:

Cross‑Site Scripting (Stored XSS – CWE‑79)
Può consentire a un attaccante di eseguire codice lato browser dell’utente o di ottenere escalation di privilegi all’interno del backend.
Incorrect Authorization (CWE‑863)
Errori nella gestione delle autorizzazioni possono permettere il bypass delle funzionalità di sicurezza o l’accesso a funzioni riservate, fino all’escalation di privilegi.
Server‑Side Request Forgery – SSRF (CWE‑918)
Può essere utilizzato per effettuare richieste dal server verso risorse interne o esterne non previste, aggirando controlli di sicurezza.
Path Traversal (CWE‑22)
In alcuni scenari può consentire lettura di file non autorizzati sul file system del server, con impatto sulla riservatezza dei dati.
Improper Input Validation (CWE‑20) e Open Redirect (CWE‑601)
Possono portare a bypass di controlli, reindirizzamenti verso siti malevoli o condizioni che facilitano ulteriori attacchi.

Nel bollettino sono elencati numerosi CVE, tra cui CVE‑2026‑21361, CVE‑2026‑21284, CVE‑2026‑21289, CVE‑2026‑21309 e molti altri, con punteggi CVSS fino a 8.7 per le vulnerabilità più critiche.

Rischi concreti per gli store Magento

Se non corretti, questi problemi possono tradursi in impatti molto concreti per un e‑commerce:

Compromissione degli account amministrativi tramite XSS e escalation di privilegi, con possibilità di modificare configurazioni, pagine e metodi di pagamento.
Esecuzione di codice o script non autorizzati sul lato server o client, con conseguente compromissione dei dati o installazione di malware.
Esfiltrazione di dati sensibili (configurazioni, file, log) tramite path traversal o SSRF verso servizi interni.
Bypass di controlli di sicurezza e di autorizzazione, che può permettere a utenti non autorizzati di accedere a funzionalità amministrative o dati non pubblici.

Anche se Adobe dichiara di non essere al momento a conoscenza di exploit “in the wild” per queste vulnerabilità, la pubblicazione del bollettino rende molto più semplice per gli attaccanti sviluppare exploit mirati.

Versioni aggiornate da installare

Adobe raccomanda di aggiornare alle seguenti release, a seconda del ramo in uso:

Adobe Commerce
- 2.4.9‑beta1 (per chi si trova su 2.4.9‑alpha3)
- 2.4.8‑p4 (per 2.4.8‑p3 e precedenti)
- 2.4.7‑p9 (per 2.4.7‑p8 e precedenti)
- 2.4.6‑p14 (per 2.4.6‑p13 e precedenti)
- 2.4.5‑p16 (per 2.4.5‑p15 e precedenti)
- 2.4.4‑p17 (per 2.4.4‑p16 e precedenti)
Adobe Commerce B2B
- 1.5.3‑beta1 (per 1.5.3‑alpha3)
- 1.5.2‑p4 (per 1.5.2‑p3 e precedenti)
- 1.4.2‑p9 (per 1.4.2‑p8 e precedenti)
- 1.3.5‑p14 (per 1.3.5‑p13 e precedenti)
- 1.3.4‑p16 (per 1.3.4‑p15 e precedenti)
- 1.3.3‑p17 (per 1.3.3‑p16 e precedenti)
Magento Open Source
- 2.4.9‑beta1 (per 2.4.9‑alpha3)
- 2.4.8‑p4 (per 2.4.8‑p3 e precedenti)
- 2.4.7‑p9 (per 2.4.7‑p8 e precedenti)
- 2.4.6‑p14 (per 2.4.6‑p13 e precedenti)
- 2.4.5‑p16 (per 2.4.5‑p15 e precedenti)

Tutti gli aggiornamenti sono classificati con priorità 2, il che indica un rischio significativo e la raccomandazione di aggiornare entro un orizzonte temporale ragionevolmente breve, soprattutto per gli ambienti di produzione esposti a internet.

Questo nuovo bollettino Adobe APSB26-05 conferma quanto il panorama di minacce su piattaforme e‑commerce complesse come Adobe Commerce e Magento Open Source resti molto dinamico.
Aggiornare tempestivamente alle versioni raccomandate è fondamentale per ridurre il rischio di compromissioni e tutelare sia i dati dei clienti sia il business online.

Cookie	Durata	Descrizione
_mcid	1 year	This is a Mailchimp functionality cookie used to evaluate the UI/UX interaction with its platform
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.
twk_idm_key	session	Tawk set this cookie to allow the website to recognise the visitor in order to optimize the chat-box functionality.

Cookie	Durata	Descrizione
_ga	2 anni	Registra un ID univoco utilizzato per generare dati statistici su come il visitatore utilizza il sito internet.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gat	1 giorno	Utilizzato da Google Analytics per limitare la frequenza delle richieste
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_54429463_1	1 minute	Set by Google to distinguish users.
_gid	1 giorno	Registra un ID univoco utilizzato per generare dati statistici su come il visitatore utilizza il sito internet.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjSession_*	1 hour	Hotjar sets this cookie to ensure data from subsequent visits to the same site is attributed to the same user ID, which persists in the Hotjar User ID, which is unique to that site.
_hjSessionUser_*	1 year	Hotjar sets this cookie to ensure data from subsequent visits to the same site is attributed to the same user ID, which persists in the Hotjar User ID, which is unique to that site.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
collect		Utilizzato per inviare dati a Google Analytics in merito al dispositivo e al comportamento dell'utente. Tiene traccia dell'utente su dispositivi e canali di marketing.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
_hjSession_2175196	30 minutes	No description
_hjSessionUser_2175196	1 year	No description
_mc_anon_id	past	Description is currently not available.

Cookie	Durata	Descrizione
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.

EspertoMagento.it

Aggiornamento di sicurezza Magento APSB26-05 (10/03/26)

Prodotti e versioni interessate

Tipologie di vulnerabilità corrette

Rischi concreti per gli store Magento

Versioni aggiornate da installare

Lascia un commento Annulla risposta

EspertoMagento.it

Aggiornamento di sicurezza Magento APSB26-05 (10/03/26)

Prodotti e versioni interessate

Tipologie di vulnerabilità corrette

Rischi concreti per gli store Magento

Versioni aggiornate da installare

Post navigation

Lascia un commento Annulla risposta