Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans Adobe Commerce. Cette faille permet à un attaquant peu privilégié d'injecter des scripts malveillants dans des champs de formulaires vulnérables. L'exécution de JavaScript malveillant dans le navigateur d'une victime peut entraîner une prise de contrôle de session, affectant les versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 et 2.4.4-p16 et versions antérieures.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette XSS stockée pour injecter du code JavaScript malveillant dans des champs de formulaires. Lorsque les utilisateurs visitent les pages contenant ces champs vulnérables, le script malveillant s'exécute dans leur navigateur. Cela peut permettre à l'attaquant de voler des cookies de session, de modifier le contenu de la page web, ou même de rediriger l'utilisateur vers un site web malveillant. La prise de contrôle de session est un risque majeur, car elle permet à l'attaquant d'agir en tant qu'utilisateur légitime, accédant à des données sensibles et effectuant des actions non autorisées. La vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'une interaction limitée de la victime, ce qui facilite son exploitation à grande échelle.
Cette vulnérabilité a été rendue publique le 11 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention dans le KEV de CISA. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. La gravité élevée du CVSS indique un potentiel d'exploitation significatif si des PoC sont publiés.
Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/app/code/Magento/*• generic web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• generic web:
Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads.
• generic web:
Inspect form field input and output for unexpected HTML or JavaScript code.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Adobe a publié des correctifs pour les versions vulnérables. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est recommandé de désactiver temporairement les fonctionnalités de formulaires non essentielles et de renforcer les politiques de sécurité du contenu (CSP) pour limiter l'exécution de scripts externes. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection de scripts malveillants. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour Adobe Commerce vers la dernière version disponible. Consultez le bulletin de sécurité d'Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21290 is a stored Cross-Site Scripting (XSS) vulnerability affecting Adobe Commerce versions 0–2.4.4-p16, allowing attackers to inject malicious scripts.
If you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier, you are potentially affected.
Upgrade to a patched version of Adobe Commerce as specified in the official Adobe Security Bulletin. Implement input validation and output encoding as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Adobe Security Bulletin for detailed information and patching instructions: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.