Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
La vulnérabilité CVE-2026-21284 est une faille de Cross-Site Scripting (XSS) stockée affectant Adobe Commerce. Cette vulnérabilité permet à un attaquant privilégié d'injecter des scripts malveillants dans des champs de formulaires vulnérables. L'exécution de JavaScript malveillant dans le navigateur d'une victime peut entraîner une prise de contrôle de session, compromettant la confidentialité et l'intégrité des données. Les versions affectées sont celles inférieures ou égales à 2.4.4-p16.
Un attaquant exploitant avec succès cette vulnérabilité peut injecter du code JavaScript malveillant dans des champs de formulaires d'Adobe Commerce. Ce code peut être exécuté dans le navigateur d'un utilisateur visitant la page contenant le champ vulnérable. La conséquence directe est la possibilité de prise de contrôle de session, permettant à l'attaquant d'usurper l'identité de l'utilisateur et d'effectuer des actions en son nom. L'impact est significatif car il peut compromettre la confidentialité des données sensibles, l'intégrité des données et la disponibilité du système. Cette vulnérabilité est similaire à d'autres failles XSS, mais la nécessité d'un accès privilégié pour l'exploitation la rend potentiellement plus ciblée sur les administrateurs ou les utilisateurs ayant des droits élevés.
La vulnérabilité CVE-2026-21284 a été publiée le 11 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. L'EPSS score est en cours d'évaluation. Il n'y a pas de Proof of Concept (PoC) public connu à l'heure actuelle. Consultez les sources officielles d'Adobe pour les dernières informations et mises à jour.
Organizations using Adobe Commerce, particularly those running versions 2.4.4-p16 and earlier, are at risk. Deployment patterns involving custom form extensions or integrations that handle user input without proper sanitization are especially vulnerable. Shared hosting environments where multiple tenants share the same Adobe Commerce instance should also be prioritized for patching.
• wordpress / composer / npm:
grep -r 'vulnerable_form_field_name' /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'x-xss-protection'• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'content-security-policy'disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Adobe a publié des correctifs pour les versions vulnérables. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est recommandé de renforcer les contrôles de validation des entrées utilisateur pour empêcher l'injection de code malveillant. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers du système et effectuez des tests de pénétration pour confirmer l'absence de la vulnérabilité.
Mettez à jour Adobe Commerce vers la dernière version disponible. Consultez le bulletin de sécurité d'Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21284 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce versions 2.4.9-alpha3 and earlier, allowing attackers to inject malicious scripts into form fields.
You are affected if you are using Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 and earlier.
Upgrade Adobe Commerce to a patched version. Implement WAF rules or input validation as a temporary workaround if immediate patching isn't possible.
There is currently no indication of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/bulletins/adobe-commerce.html](https://www.adobe.com/security/bulletins/adobe-commerce.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.