{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreif5py65vp4wot2ndegn4zk435nbqtp5its426l2klallcpdmwub6u",
"uri": "at://did:plc:hbchpr6y6rxx6yzpanhmj2ur/app.bsky.feed.post/3mmestczzgnmd"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreibpmawgyk26s2d3lr4t2axkhykjq2yyhxtzfit3skd3wfp6a4iagm"
},
"mimeType": "image/webp",
"size": 124802
},
"description": "Heute am 12.05.2016 kam der aktuelle Magento Sicherheitspatch für die Versionen Magento. Dieser ist über die üblichen Wege beziehbar. Dieser ist mit Prio 2 bewertet und sollte somit in unter 30 Tagen eingespielt werden. Es sind kritische Sicherheitslücken, die aber aktuell (noch) nicht aktiv ausgenutzt werden. Die Patches für APSB26-49 sind: Magento 2.4.8-p5Magento 2.4.7-p10Magento 2.4.6-p15Magento...",
"path": "/neuigkeiten/magento/magento-sicherheitspatch-mai-2026-m2-4-4-p18-m2-4-5-p17-m2-4-6-p15-m2-4-7-p10-m2-4-8-p5-apsb26-49/",
"publishedAt": "2026-05-12T18:59:21.000Z",
"site": "at://did:plc:hbchpr6y6rxx6yzpanhmj2ur/site.standard.publication/3mmesbv4ckded",
"tags": [
"Beratung",
"betreuung",
"Magento",
"Magento 2",
"magento betreung",
"magento support",
"Online Shop",
"Patch"
],
"textContent": "Heute am 12.05.2016 kam der aktuelle Magento Sicherheitspatch für die Versionen Magento. Dieser ist über die üblichen Wege beziehbar. Dieser ist mit Prio 2 bewertet und sollte somit in unter 30 Tagen eingespielt werden. Es sind kritische Sicherheitslücken, die aber aktuell (noch) nicht aktiv ausgenutzt werden. Die Patches für APSB26-49 sind: Magento 2.4.8-p5Magento 2.4.7-p10Magento 2.4.6-p15Magento 2.4.5-p17Magento 2.4.4-p18 Adobe schreibt dazu im Detail: \"Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische, wichtige und moderate Schwachstellen. Eine erfolgreiche Ausnutzung könnte zur Ausführung beliebigen Codes, zum Schreiben beliebiger Daten in das Dateisystem, zu einer Denial-of-Service-Situation der Anwendung sowie zur Umgehung von Sicherheitsfunktionen führen. Adobe sind keine im Umlauf befindlichen Exploits für die in diesen Updates behobenen Schwachstellen bekannt.\" (Von Adobe übersetzt, Quelle: https://helpx.adobe.com/security/products/magento/apsb26-49.html) Für welche Versionen gibt es den Sicherheitspatch? Magento 2.4.4 (nur für Adobe Commerce-Kunden) Magento 2.4.5 (nur für Adobe Commerce-Kunden) Magento 2.4.6 Magento 2.4.7 Magento 2.5.8 Ausführliche Informationen Magento Adobe Commerce-Lebenszyklusrichtlinie hier: Quelle: Adobe Commerce-Lebenszyklusrichtlinie https://experienceleague.adobe.com/de/docs/commerce-operations/release/planning/lifecycle-policy Wichtig: Es gibt die erweiterten Unterstützung NUR für Adobe Commerce-Kunden Der Fix löst folgende Dinge (basierend auf den Adobe Infos) PolyShell wurde erst in Version 2.4.9 behoben. Die Patch-Releases enthalten zwar einige Sicherheitsverbesserungen im Bereich des Upload-Pfads für benutzerdefinierte Optionen, die eigentliche Fehlerbehebung wurde jedoch erst in Version 2.4.9 implementiert. Bei anfälligen Konfigurationen lassen die Patch-Releases den Angriff weiterhin durch. Der GraphQL-Endpunkt kann nicht mehr durch übergroße oder tief verschachtelte Abfragen (DoS) zum Absturz gebracht werden. Der Produktimport kann nicht mehr dazu verleitet werden, Dateien von beliebigen URLs abzurufen (SSRF). Die XSS-Schwachstelle im Adminbereich wurde in mehreren Bestätigungsdialogen (PayPal, Kunden-„Anmeldung erzwingen“, Abholung im Geschäft) behoben, in denen übersetzter Text unmaskiert in JavaScript ausgegeben wurde. XSS-Schwachstelle in der Produktattributausgabe: javascript:/data:/vbscript:-URIs oder Inline-Event-Handler werden nicht mehr akzeptiert. XSS-Schwachstelle im Inline-Übersetzungstool: Übersetzte Zeichenketten können keine alert/eval/innerHTML-Payloads mehr enthalten. IDOR in Kundenbewertungen: Beim Anzeigen einer Bewertung wird nun überprüft, ob sie dem anfragenden Kunden gehört. Das Gast-Warenkorb-Token wird bei der Umwandlung vom Gast zum Kunden gelöscht (verhindert Warenkorb-Hijacking nach dem Login). Widget-Vorlagenpfade werden nun anhand der Zulassungsliste validiert. Die Host-Prüfung des Page-Builder-iFrames wurde behoben (Fehler durch Suffix-Verwechslung in der Zulassungsliste). Behebung eines Fehlers mit HTTP-Parameterverschmutzung in der REST-API: Duplikate wurden entfernt. Parameter, die sich nur in Groß- und Kleinschreibung oder Unterstrichen unterscheiden, werden abgelehnt. Die mitgelieferte GraphQL-Bibliothek wurde aktualisiert, um die eigenen veröffentlichten Sicherheitshinweise zu beheben. Bekannte Probleme mit dem Sicherheitspatch? Bisher konnten wir keine Probleme bei der Installation des Patches oder auch während der Testläufe feststellen können. Der Patch lässt sich ohne echte Probleme einspielen. Rein Shop-Individuelle Eigenheiten führten teilweise zu Problemen. Es waren aber keine Kompatibilitätsprobleme. Wo gibt es ausführliche Informationen zum Patch? https://helpx.adobe.com/security/products/magento/apsb26-49.html Unterstützung bei Patch einspielen benötigt? mehr zum Thema Magento Patches einspielen gibt es hier mehr zum Thema wie lange eine Magento Version Patches erhält gibt es hier mehr zum Thema Magento Betreuung gibt es hier",
"title": "Magento Sicherheitspatch Mai 2026 – M2.4.4-p18, M2.4.5-p17, M2.4.6-p15, M2.4.7-p10, M2.4.8-p5 - APSB26-49",
"updatedAt": "2026-05-12T18:59:24.000Z"
}