---
title: "CVE-2026-48356: Kritische Datei-Upload-Lücke in Adobe Commerce (APSB26-73)"
url: "https://www.wamoco.de/adobe-commerce-cve-2026-48356-apsb26-73/"
description: "CVE-2026-48356 erlaubt das Hochladen bösartiger Dateien auf deinen Adobe-Commerce-Server – kritisch eingestuft im Security-Bulletin APSB26-73 vom 14. Juli 2026. So patchst du richtig."
---

ADOBE COMMERCEMAGENTO 2SECURITYWARTUNG & SUPPORT

# CVE-2026-48356: Kritische Datei-Upload-Lücke in Adobe Commerce (APSB26-73)

WA

Wamoco Redaktion

E-Commerce-Agentur aus Bremen

Veröffentlicht 15\. Juli 2026

Dauer 5 Min Lesezeit

Dein Gewinn

Was du nach diesem Beitrag wissen wirst

CVE-2026-48356 ist eine kritische Unrestricted-File-Upload-Lücke in Adobe Commerce und Magento Open Source – schließe sie mit APSB26-73.

Priority 2 heißt: noch kein bekannter Exploit im Umlauf. Das ist ein Zeitfenster, kein Grund zum Aufschieben.

Beschränke Upload-Verzeichnisse auf erlaubte Dateitypen und verhindere die Ausführung hochgeladener Dateien serverseitig.

Setze eine WAF-Regel gegen verdächtige Upload-Requests ein, solange der Patch noch nicht läuft.

 ![Abstraktes Schild-Symbol mit versiegelter Bruchlinie in Cyan und Amber auf Navy – Symbolbild für die Sicherheitslücke CVE-2026-48356](/_astro/adobe-commerce-cve-2026-48356-apsb26-73-hero.PLMVVbaT_Z2wFNnY.png)

SECURITY UPDATE

CVE-2026-48356 ist kritisch eingestuft (Priority 2) – noch kein bekannter Exploit im Umlauf, aber das ändert sich schnell.

Am 14. Juli 2026 hat Adobe mit dem Security-Bulletin APSB26-73 unter anderem CVE-2026-48356 geschlossen – eine kritisch eingestufte Unrestricted-File-Upload-Lücke in Adobe Commerce und Magento Open Source. Noch ist kein aktiver Exploit bekannt. Genau das ist das Zeitfenster, das du jetzt nutzen solltest, bevor sich das ändert.

## Was CVE-2026-48356 konkret betrifft

CVE-2026-48356 ist eine **Unrestricted File Upload**\-Schwachstelle: Ein Angreifer kann Dateien auf deinen Server hochladen, ohne dass Typ oder Inhalt ausreichend geprüft werden. Wird eine solche Datei anschließend ausgeführt, eröffnet das einen Weg zur **Privilege Escalation** – im schlimmsten Fall bis zur vollständigen Übernahme deines Shops.

Das Bulletin APSB26-73 betrifft in der Gesamtschau folgende Produkte und Versionen:

Produkt

Höchste betroffene Version je Branch

**Adobe Commerce**

2.4.4-p18 → 2.4.9

**Magento Open Source**

2.4.6-p15 → 2.4.9

**Adobe Commerce B2B**

1.3.3-p18 → 1.5.3

**Adobe Commerce Events**

1.6.0 → 1.20.0

Jede genannte Ober­grenze schließt alle darunterliegenden Patch-Level derselben Versionslinie mit ein – wer also unterhalb der rechten Spalte liegt, ist betroffen. CVE-2026-48356 selbst betrifft davon konkret Adobe Commerce und Magento Open Source. Neben CVE-2026-48356 schließt APSB26-73 weitere kritische Lücken (u. a. Stored XSS und Incorrect-Authorization-Schwachstellen), die auch Adobe Commerce B2B und Adobe Commerce Events betreffen. Dieser Beitrag konzentriert sich bewusst auf CVE-2026-48356, weil sie die am schwersten wiegende Einzel-Schwachstelle im Bulletin ist.

#### Priority 2 heißt: noch kein Exploit, kein Aufschieben.

Adobe stuft APSB26-73 mit Priority 2 ein – aktuell sind keine aktiven Angriffe auf CVE-2026-48356 bekannt. Klassischer Fehler: das als Entwarnung lesen und den Patch in die nächste reguläre Wartungsphase schieben. Tatsächlich ist genau jetzt das Zeitfenster, in dem du die Lücke schließen kannst, bevor der erste Exploit kursiert.

## So spielst du den Patch sicher ein

Adobe hat die gepatchten Releases mit dem Versions-Suffix **„-2026-jul“** gekennzeichnet (z. B. `2.4.8-2026-jul`) – prüfe beim Upgrade gezielt danach. Bevor du live patchst:

*   **Adobe Security Scan Tool** laufen lassen, um deine Instanz gezielt gegen APSB26-73 zu prüfen.
*   **Patch zuerst im Staging** einspielen und testen, nicht direkt live.
*   **Vollständiges Datenbank- und Datei-Backup** anlegen, bevor du das Update ausrollst.
*   **Extension-Kompatibilität prüfen** – gerade bei älteren Drittanbieter-Modulen kann der Patch Konflikte auslösen.

## Fünf Sofortmaßnahmen, wenn der Patch noch aussteht

Falls du APSB26-73 aus technischen oder organisatorischen Gründen nicht sofort vollständig einspielen kannst, reduzieren diese fünf Maßnahmen dein Risiko gegen CVE-2026-48356 – in der Reihenfolge, in der sie am meisten bringen:

1.  **Upload-Verzeichnisse absichern.** Beschränke erlaubte Dateitypen auf das technisch notwendige Minimum und verhindere serverseitig, dass Dateien in Upload-Pfaden ausgeführt werden können (z. B. über Webserver-Konfiguration statt nur Anwendungslogik).
2.  **Admin- und Upload-Endpunkte per WAF einschränken.** Blockiere verdächtige Upload-Requests und beschränke den Zugriff auf bekannte IP-Adressen, ergänzt um Zwei-Faktor-Authentifizierung (2FA) fürs Admin-Panel.
3.  **Monitoring auf neue Dateien verschärfen.** Überwache Upload-Verzeichnisse aktiv auf neue oder unerwartete Dateien und aktiviere detaillierte Logs für Datei-Uploads.
4.  **Eingabevalidierung verstärken.** Validiere Dateityp, -inhalt und -größe serverseitig, nicht nur clientseitig.
5.  **Nicht notwendige Upload-Funktionen deaktivieren.** Jede Upload-Möglichkeit, die für deinen Betrieb nicht zwingend erforderlich ist, ist eine zusätzliche Angriffsfläche für CVE-2026-48356 – schalte sie temporär ab.

In unserer [Wartung & Support](/leistungen/wartung-support/)\-Praxis sehen wir regelmäßig, dass genau diese Sofortmaßnahmen den Unterschied machen, wenn ein Patch nicht am selben Tag laufen kann. Trade-off: Sie ersetzen den eigentlichen Patch nicht – eine WAF-Regel blockiert bekannte Upload-Muster, aber nicht zwangsläufig neue Varianten, sobald ein Exploit für CVE-2026-48356 auftaucht.

* * *

## FAQ

**Was macht CVE-2026-48356 so kritisch?** CVE-2026-48356 ist eine Unrestricted-File-Upload-Schwachstelle: Ein Angreifer kann bösartige Dateien auf deinen Server hochladen. Werden diese Dateien anschließend ausgeführt, kann das bis zur Privilege Escalation und vollständigen Kompromittierung des Shops führen. Adobe stuft die Lücke deshalb als kritisch ein.

**Wird CVE-2026-48356 bereits aktiv ausgenutzt?** Nein, Adobe stuft das Bulletin APSB26-73 mit Priority 2 ein – das bedeutet, aktuell sind keine aktiven Exploits in freier Wildbahn bekannt. Das ist kein Grund zum Aufschieben: Sobald ein Exploit auftaucht, sind ungepatchte Shops sofort verwundbar.

**Welche Adobe-Commerce- und Magento-Versionen sind betroffen?** Betroffen sind Adobe Commerce 2.4.9, 2.4.8-p5 und früher, 2.4.7-p10 und früher, 2.4.6-p15 und früher sowie 2.4.5-p17 und früher, ebenso Magento Open Source in den entsprechenden Versionsständen. Prüfe deine Version gegen das offizielle Adobe-Security-Bulletin APSB26-73.

**Wie schütze ich mich, wenn der Patch noch nicht läuft?** Beschränke Upload-Verzeichnisse auf erlaubte Dateitypen und verhindere serverseitig, dass hochgeladene Dateien ausgeführt werden können. Ergänzend hilft eine WAF-Regel gegen auffällige Upload-Requests und verschärftes Monitoring auf neue Dateien in Upload-Pfaden, bis APSB26-73 vollständig eingespielt ist.

**Woran erkenne ich die gepatchte Version?** Adobe kennzeichnet die gepatchten Releases mit dem Versions-Suffix „-2026-jul“, zum Beispiel 2.4.8-2026-jul. Prüfe vor dem Live-Rollout außerdem mit dem Adobe Security Scan Tool, ob deine Instanz abgesichert ist, teste den Patch im Staging und lege vorher ein vollständiges Backup an.

## Fazit: Das Zeitfenster jetzt nutzen

CVE-2026-48356 ist noch nicht aktiv ausgenutzt – aber kritisch eingestuft, und dieses Zeitfenster schließt sich, sobald der erste Exploit im Umlauf ist. Spiel APSB26-73 deshalb jetzt ein, statt auf die nächste reguläre Wartungsphase zu warten. Brauchst du dafür noch Zeit, überbrücken dich die fünf Sofortmaßnahmen oben, bis der vollständige Patch läuft.

### Das nimmst du mit:

*   CVE-2026-48356 ist eine kritische Unrestricted-File-Upload-Lücke in Adobe Commerce und Magento Open Source.
*   Priority 2 heißt: noch kein bekannter Exploit – nutze das Zeitfenster, statt zu warten.
*   Kein Patch sofort möglich? Upload-Verzeichnisse absichern und WAF-Regeln einrichten, zuerst.
*   Deaktiviere nicht notwendige Upload-Funktionen – jede ist eine zusätzliche Angriffsfläche.

## Nächste Schritte

Wir spielen APSB26-73 für dich ein, härten deine Upload-Verzeichnisse gegen CVE-2026-48356 ab und übernehmen mit unserer [Wartung & Support](/leistungen/wartung-support/)\-Betreuung dein laufendes Security-Monitoring. JETZT SICHERHEITSCHECK ANFRAGEN.