Op 10 maart 2026 heeft Adobe een patchronde uitgebracht. In dit artikel lees je de uitgebreide uitleg. Lees het artikel nu.
Wat is het Common Vulnerability Scoring System?
Het CVSS (Common Vulnerability Scoring System) is de standaard om de ernst van beveiligingslekken te meten. Elk onderdeel krijgt een cijfer van 0 tot 10. Een hogere score geeft aan dat het beveiligingslek ernstiger is. Welke punten worden gemeten?
- Attack Vector
- Attack Complexity
- Privileges Required
- User Interaction
- Scope
- Confidentiality Impact
- Integrity Impact
- Availability Impact
Adobe Commerce deelt de CVSS-vector in de Security Bulletin. Aan de hand van deze score leggen wij de kwetsbaarheid uit.
Cross-site Scripting (Stored XSS) (CWE-79): score 8.1
Privilege escalation – CVE-2026-21361
Bij dit type aanval kan de hacker een kwaadaardige javascript implementeren op de server. Deze wordt automatisch uitgevoerd door andere gebruikers. Bij deze kwetsbaarheid heeft de hacker hogere rechten gekregen dan oorspronkelijk bedoeld is.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: de exploit is niet ingewikkeld.
Privileges Require
High: de hacker moet hoge rechten hebben, zoals een adminaccount.
User Interaction
Required: de gebruikers moeten een actie uitvoeren, zoals klikken op een link.
Scope
Changed: de aanval kan impact hebben buiten de oorspronkelijke security scope.
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen.
Integrity
High: de hacker kan data wijzigen en/of manipuleren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash
Cross-site Scripting (Stored XSS) (CWE-79): score 8.1
Privilege escalation – CVE-2026-21284
Deze kwetsbaarheid is dezelfde als de bovenstaande. Hackers kunnen kwaadaardige code injecteren op de server die automatisch wordt gedraaid bij de gebruikers. Hackers hebben hogere rechten dan de bedoeling is.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: de exploit is niet ingewikkeld.
Privileges Required
High: de hacker moet hoge rechten hebben, zoals een adminaccount.
User Interaction
Required: de gebruikers moeten een actie uitvoeren, zoals klikken op een link.
Scope
Changed: de aanval kan impact hebben buiten de oorspronkelijke security scope.
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen
Integrity
High: de hacker kan data wijzigen en/of manipuleren
Availability
None: systemen blijven draaien, er is geen sprake van een crash
Cross-site Scripting (Stored XSS) (CWE-79): 8.7
Privilege escalation – CVE-2026-21290
In deze kwetsbaarheid is een gebruiker met lage rechten in staat om een kwaadaardige javascript op de server te plaatsen. De hacker kan hogere rechten verkrijgen en gevoelige acties uitvoeren.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: de exploit is niet ingewikkeld
Privileges Required
Low: de hacker moet ingelogd zijn, maar met lage rechten.
User Interaction
Required: Gebruikers moeten een actie uitvoeren zoals het klikken van een linkje
Scope
Changed: De aanval heeft impact buiten het kwetsbare component
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen
Integrity
High: de hackers kunnen gevoelige data aanpassen of manipuleren
Availability
None: systemen blijven draaien, er is geen sprake van een crash
Incorrect Authorization (CWE-863): score 7.5
Security feature bypass – CVE-2026-21289
De hacker is bij deze kwetsbaarheid in staat om zonder in te loggen de securitycontrole te omzeilen. Hierdoor kan hij gevoelige informatie lezen, maar hij is niet in staat om deze aan te passen of te manipuleren. De applicatie controleert niet goed genoeg of een persoon wel of geen toegang mag hebben. Hierdoor kunnen hackers de controle omzeilen.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: de exploit is niet ingewikkeld.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn.
User Interaction
None: de gebruikers hoeven geen acties te ondernemen zoals klikken op linkjes.
Scope
Unchanged: De aanval heeft alleen impact binnen dit component.
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen.
Integrity
None: de hacker kan geen gevoelige data veranderen of manipuleren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Cross-site Scripting (Stored XSS) (CWE-79): score 8.0
Privilege escalation – CVE-2026-21311
In deze kwetsbaarheid kan een hacker zonder in te loggen een kwaadaardig script plaatsen. Dit script wordt uitgevoerd wanneer een gebruiker hiermee in aanmerking komt. Door het script kan de hacker adminrechten verkrijgen en gevoelige acties uitvoeren.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
High: de exploit is ingewikkeld en vereist specifieke omstandigheden.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn.
User Interaction
Required: de gebruikers moeten een actie ondernemen, zoals klikken op linkjes.
Scope
Changed: De aanval heeft impact buiten het kwetsbare component.
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen.
Integrity
High: de hacker kan gevoelige data veranderen of manipuleren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Incorrect Authorization (CWE-863): score 7.5
Privilege Escalation – CVE-2026-21309
In deze kwetsbaarheid is er geen juiste rollencontrole. Hierdoor kan een hacker data inlezen, terwijl hij hier eigenlijk niet voor bevoegd is. Er kan wel sprake zijn van authenticatie, maar de controle van rechten is incorrect.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn.
User Interaction
None: er is geen gebruiker nodig om de hack uit te voeren.
Scope
Unchanged: Impact blijft binnen het component.
Confidentiality
High: de hacker kan veel of alle gevoelige data lezen.
Integrity
None: de hacker kan geen data wijzigen of manipuleren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash
Incorrect Authorization (CWE-863): score 4.3
Security feature bypass – CVE-2026-21285
Ook bij deze kwetsbaarheid is er een probleem met autorisatie, alleen is de impact minder groot dan bij de andere kwetsbaarheid. De beveiligingsmaatregel wordt dus omzeild, maar heeft geen directe grote gevolgen. Toch is het belangrijk om ook dit soort kwetsbaarheden te patchen.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
Low: de hacker moet ingelogd zijn, maar heeft geen hoge rechten nodig.
User Interaction
None: er is geen gebruiker nodig om de hack uit te voeren
Scope
Unchanged: Impact blijft binnen het component
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
None: de hacker kan geen data wijzigen of manipuleren
Availability
None: systemen blijven draaien, er is geen sprake van een crash
Incorrect Authorization (CWE-863): score 5.3
Security feature bypass – CVE-2026-21286
Deze kwetsbaarheid controleert niet of een gebruiker toegang heeft tot een bepaalde actie of feature. Dit wil zeggen dat hackers acties kunnen uitvoeren zonder specifieke rechten te hebben. De hackers kunnen geen informatie wijzigen of manipuleren, maar ze hebben wel inzicht in beperkte data.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn.
User Interaction
None: er is geen gebruiker nodig om de hack uit te voeren.
Scope
Unchanged: Impact blijft binnen het component.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
None: de hacker kan geen data wijzigen of manipuleren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Cross-site Scripting (Stored XSS) (CWE-79): score 4.8
Arbitrary code execution – CVE-2026-21291
De hacker is in staat om Javascript op te slaan in de applicatie. Deze code wordt uitgevoerd in de browser van gebruikers. De aanvaller kan zelf kiezen wat voor soort aanval het is en het script kan doen wat de browsercontext toelaat. Dit heeft echter geen impact op admin, geen accounttakeover en geen backendimpact.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
High: de hacker heeft hoge rechten om acties te ondernemen.
User Interaction
Required: de gebruiker moet iets uitvoeren, zoals het openen van een link.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Cross-site Scripting (Stored XSS) (CWE-79): score 5.4
Arbitrary code execution – CVE-2026-21292
Deze kwetsbaarheid is vergelijkbaar met de bovenstaande. Aanvallers kunnen javascript injecteren en laten uitvoeren op de browser van gebruikers.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
Low: de hacker moet inloggen, maar heeft lage rechten nodig om een aanval uit te voeren.
User Interaction
Required: de gebruiker moet iets uitvoeren, zoals het openen van een link.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Server-Side Request Forgery (SSRF) (CWE-918): score 5.5
Arbitrary file system read – CVE-2026-21293
De hacker is in staat om serverrequests te doen naar interne bestanden of lokale files. Het heeft geen hoge score gekregen, omdat de beperkingen minimaal zijn, maar het is toch belangrijk om deze te patchen.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
High: de hacker moet hoge rechten hebben om een aanval uit te voeren.
User Interaction
None: er zijn acties van gebruikers nodig om de aanval uit te voeren.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Server-Side Request Forgery (SSRF) (CWE-918): score 5.5
Security feature bypass – CVE-2026-21294
De hacker kan bij deze kwetsbaarheid requests laten uitvoeren op de server. Dit is voornamelijk gericht op interne resources. Hierdoor is een hacker in staat om de beveiligingsmaatregelen te omzeilen, terwijl de normale toegang dit blokkeert.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: een exploit is simpel uit te voeren. Er zijn geen speciale omstandigheden nodig.
Privileges Required
High: de hacker moet hoge rechten hebben om een aanval uit te voeren.
User Interaction
None: er zijn acties van gebruikers nodig om de aanval uit te voeren.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien, er is geen sprake van een crash.
Incorrect Authorization (CWE-863): score 4,7
Security feature bypass – CVE-2026-21359
Deze kwetsbaarheid controleert niet of een gebruiker toegang heeft tot een bepaalde feature. De beveiligingsmaatregel wordt omzeild, maar de impact is laag. Wel belangrijk om te patchen.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
High: het uitvoeren van een aanval is erg complex en het heeft specifieke omstandigheden.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn om een aanval uit te voeren.
User Interaction
Required: de gebruiker moet een actie uitvoeren, zoals het indrukken van een linkje.
Confidentiality
Low: de hacker kan beperkte informatie uitlekken. Dit is minder gevoelige informatie.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
None: hackers kunnen geen data inzien.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
Low: het is mogelijk dat de service wordt beperkt.
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22): score 6.8
Security feature bypass – CVE-2026-21360
Hackers kunnen bestandspaden manipuleren. Hierdoor gaat de applicatie buiten de bedoelde directory werken. Toegang is vrij makkelijk om deze acties uit te voeren. Vele grote kwetsbaarheden beginnen bij een exploit zoals deze.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: het uitvoeren van een aanval is technisch eenvoudig.
Privileges Required
High: de hacker moet hoge rechten hebben om een aanval uit te voeren.
User Interaction
None: er is geen gebruikerinteractie nodig.
Scope
Changed: Impact kan buiten het kwetsbare component voorkomen.
Confidentiality
High: hackers kunnen gevoelige data inzien en lezen.
Integrity
None: de hacker kan geen wijzigingen doorvoeren
Availability
None: systemen blijven draaien; er is geen sprake van een crash.
Improper Input Validation (CWE-20): score 5.3
Application denial-of-service – CVE-2026-21282
De hacker kan door deze kwetsbaarheid een applicatie laten vastlopen of crashen. Dit komt door de slechte validatie. De applicatie controleert niet op de inhoud. Door andere input te geven, kan de applicatie crashen.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: het uitvoeren van een aanval is technisch eenvoudig.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn om de kwetsbaarheid te misbruiken.
User Interaction
None: er is geen gebruikerinteractie nodig.
Scope
Unchanged: Impact blijft binnen het component dat wordt misbruikt.
Confidentiality
None: hackers kunnen geen data inzien.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien; er is geen sprake van een crash.
Improper Input Validation (CWE-20): score 5.3
Security feature bypass – CVE-2026-21310
Deze kwetsbaarheid laat zien dat applicaties de input niet goed valideren. Dit zijn inputs zoals formaat, waarde, type of context. Er zijn bijvoorbeeld onverwachte parameters toegestaan of worden grenzen niet gecontroleerd. Hackers kunnen de beveiligingsmaatregelen omzeilen en gedrag beïnvloeden.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: het uitvoeren van een aanval is technisch eenvoudig.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn om de kwetsbaarheid te misbruiken.
User Interaction
None: er is geen gebruikerinteractie nodig.
Scope
Unchanged: Impact blijft binnen het component dat wordt misbruikt.
Confidentiality
None: hackers kunnen geen data inzien.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien; er is geen sprake van een crash.
URL Redirection to Untrusted Site ('Open Redirect') (CWE-601): score 3.1
Security feature bypass – CVE-2026-21295
De applicatie laat hackers bepalen welke redirect er aan een URL hangt. Dit gebeurt zonder goede validatie. Gebruikers kunnen via deze methodes landen op een onbevoegde website of kwaadaardige URL.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
High: er zijn specifieke omstandigheden om de kwetsbaarheid te misbruiken.
Privileges Required
None: de hacker hoeft niet ingelogd te zijn om de kwetsbaarheid te misbruiken.
User Interaction
Required: de gebruikers moeten actie ondernemen, zoals klikken op linkjes.
Scope
Unchanged: Impact blijft binnen het component dat wordt misbruikt.
Confidentiality
None: hackers kunnen geen data inzien.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien; er is geen sprake van een crash.
Incorrect Authorization (CWE-863): score 3.5
Security feature bypass – CVE-2026-21295
De applicatie laat hackers bepalen welke redirect er aan een URL hangt. Dit gebeurt zonder goede validatie. Gebruikers kunnen via deze methodes landen op een onbevoegde website of kwaadaardige URL.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: het is vrij makkelijk om deze kwetsbaarheid te misbruiken.
Privileges Required
Low: De hacker moet ingelogd zijn met lage rechten om de kwetsbaarheid te misbruiken.
User Interaction
Required: de gebruikers moeten actie ondernemen, zoals klikken op linkjes.
Scope
Unchanged: Impact blijft binnen het component dat wordt misbruikt.
Confidentiality
None: hackers kunnen geen data inzien.
Integrity
Low: de hacker kan beperkte wijzigingen doorvoeren.
Availability
None: systemen blijven draaien; er is geen sprake van een crash.
Incorrect Authorization (CWE-863): score 3.5
Security feature bypass – CVE-2026-21297
Deze kwetsbaarheid is bijna hetzelfde als de bovenstaande. De applicatie controleert niet goed op toestemming. Hierdoor kunnen de beveiligingsmaatregelen worden omzeild.
Attack Vector
Network: aanval kan remote via netwerk en hacker heeft geen fysieke toegang nodig.
Attack Complexity
Low: het is vrij makkelijk om deze kwetsbaarheid te misbruiken.
Privileges Required
Low: De hacker moet ingelogd zijn met lage rechten om de kwetsbaarheid te misbruiken.
User Interaction
Required: de gebruikers moeten actie ondernemen, zoals klikken op linkjes.
Scope
Unchanged: Impact blijft binnen het component dat wordt misbruikt.
Confidentiality
Low: hackers kunnen geen data inzien
Integrity
None: de hacker kan geen data aanpassen.
Availability
None: systemen blijven draaien; er is geen sprake van een crash.