Adobe heeft meerdere beveiligingslekken gedicht in Adobe Commerce en Magento Open Source. De problemen raakten uiteenlopende versies, waaronder 2.4.9-beta1 en oudere uitgaven. Het ging onder meer om fouten in autorisatie, een SSRF-kwetsbaarheid en een lek waardoor het systeem uitput raakt. Bij elkaar konden aanvallers beveiligingscontroles omzeilen, lees- of schrijfrechten bemachtigen of het platform tijdelijk onbruikbaar maken. (helpx.adobe.com)

Wat er precies misging

• Incorrect Authorization: door gebrekkige autorisatiecontroles konden kwaadwillenden acties uitvoeren die eigenlijk geblokkeerd moesten zijn. Dit kon zonder interactie van een gebruiker en leidde in de praktijk tot ongeautoriseerde schrijfrechten. (helpx.adobe.com)
• Server-Side Request Forgery (SSRF): door het serververzoek te manipuleren konden aanvallers interne bronnen benaderen en zo beveiliging omzeilen. Daarvoor is wel interactie nodig, bijvoorbeeld via een kwaadaardige link of webpagina. (helpx.adobe.com)
• Uncontrolled Resource Consumption: door het systeem te belasten met veel of dure verzoeken raakten serverbronnen uitgeput, wat tot een denial-of-service leidde. Hiervoor is geen gebruikersinteractie nodig. (helpx.adobe.com)

Welke versies zijn geraakt en wat is de fix?

• Geraakt: onder meer 2.4.9-beta1, 2.4.8-p4 en ouder, 2.4.7-p9 en ouder, 2.4.6-p14 en ouder, 2.4.5-p16 en ouder en 2.4.4-p17 en ouder. Dit geldt voor zowel Adobe Commerce als Magento Open Source. (helpx.adobe.com)
• Oplossing: update naar 2.4.9 of naar de nieuwste beveiligingspatch in jouw release-lijn (2.4.8‑p5, 2.4.7‑p10, 2.4.6‑p15, 2.4.5‑p17 of 2.4.4‑p18). Adobe markeert deze updates als prioriteit 2 en adviseert zo snel mogelijk bij te werken. (helpx.adobe.com)

CVE’s en ernst
De update van 12 mei 2026 benoemt onder andere CVE‑2026‑34645/34646 (incorrect authorization), CVE‑2026‑34647 (SSRF) en CVE‑2026‑34648 t/m 34651 (resource consumption). Adobe classificeert deze als kritisch, met impact variërend van security feature bypass tot applicatie‑DoS. Ten tijde van publicatie meldde Adobe geen misbruik in het wild. (helpx.adobe.com)

Waarom snel patchen loont
E-commerceplatformen zijn aantrekkelijke doelwitten. In 2025 werd bijvoorbeeld CVE‑2025‑54236, een kritieke API‑kwetsbaarheid in Commerce/Magento, binnen korte tijd grootschalig aangevallen met accountovernames tot gevolg. Adobe bracht toen versneld een hotfix uit en rolde WAF‑regels uit voor cloudomgevingen. Die episode onderstreept hoe belangrijk het is om security‑patches direct door te voeren. (experienceleague.adobe.com)

Wat je nu kunt doen

• Update naar 2.4.9 of installeer de nieuwste p‑release voor jouw lijn (2.4.8‑p5, 2.4.7‑p10, etc.). Test kort op acceptatie, maar stel niet uit. (helpx.adobe.com)
• Beperk uitgaand verkeer van Commerce-servers om SSRF‑risico’s te verkleinen (alleen noodzakelijke endpoints whitelisten) en zet strikte firewallregels neer.
• Stel rate limiting en caching in op API‑endpoints en zoekfunctionaliteiten om resource‑uitputting tegen te gaan.
• Monitor logs op plotselinge pieken in requests, time‑outs en ongebruikelijke outbound HTTP(S)‑verzoeken.
• Herzie rechtenmodellen: minimaliseer admin‑toegang, gebruik 2FA en audit regelmatig op overmatige privileges.
• Voor Commerce op Cloud: controleer of eventuele WAF‑regels en relevante hotfixes actief zijn. (experienceleague.adobe.com)

Kortom: deze ronde lost een mix van autorisatie-, SSRF‑ en DoS‑risico’s op. Controleer je versie, plan de update en neem meteen operationele maatregelen. Zo voorkom je dat jouw webshop onnodig risico loopt. (helpx.adobe.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.