Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
La vulnérabilité CVE-2026-21291 est une faille de Cross-Site Scripting (XSS) stockée affectant Adobe Commerce. Cette faille permet à un attaquant privilégié d'injecter des scripts malveillants dans des champs de formulaire, compromettant potentiellement la sécurité des données des utilisateurs. Les versions concernées sont les versions 0 jusqu'à 2.4.4-p16. Adobe a publié des correctifs pour résoudre ce problème.
Un attaquant exploitant avec succès cette vulnérabilité XSS stockée peut injecter du code JavaScript malveillant dans les champs de formulaire d'Adobe Commerce. Lorsqu'un utilisateur visite la page contenant le script injecté, celui-ci s'exécute dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant de voler des cookies, de rediriger l'utilisateur vers des sites malveillants ou de modifier le contenu de la page. La nécessité d'une interaction utilisateur (navigation vers la page vulnérable) limite l'impact, mais rend l'attaque potentiellement plus insidieuse car elle peut passer inaperçue. L'attaquant doit posséder des privilèges élevés pour exploiter cette faille, ce qui restreint le champ d'action mais augmente la gravité de l'impact potentiel.
La vulnérabilité CVE-2026-21291 a été rendue publique le 2026-03-11. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une interaction utilisateur et des privilèges requis pour l'exploitation. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour.
Organizations using Adobe Commerce versions 0–2.4.4-p16, particularly those with high-traffic storefronts or sensitive customer data, are at risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also at increased risk, as a compromise on one tenant's account could potentially affect others.
• magento / web:
grep -r "<script" /var/www/html/app/code/Magento/...• magento / web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• wordpress / composer / npm: Review plugin code for improper output encoding of user-supplied data in form fields. • generic web: Monitor access logs for unusual requests targeting form submission endpoints.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Consultez les notes de publication d'Adobe pour connaître les versions corrigées spécifiques. En attendant la mise à jour, il est possible de renforcer la sécurité en désactivant temporairement les fonctionnalités de formulaire qui pourraient être vulnérables. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les tentatives d'injection de script. Vérifiez après la mise à jour que les champs de formulaire ne sont pas susceptibles d'injection de script en testant avec des entrées malveillantes.
Mettez à jour Adobe Commerce vers la dernière version disponible. Assurez-vous d'appliquer les correctifs de sécurité fournis par Adobe pour atténuer la vulnérabilité XSS stockée. Consultez le bulletin de sécurité d'Adobe pour obtenir des instructions détaillées sur la mise à jour et l'application des correctifs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21291 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce versions 0–2.4.4-p16, allowing attackers to inject malicious scripts into form fields.
If you are using Adobe Commerce versions 0–2.4.4-p16, you are potentially affected by this vulnerability. Check the official Adobe advisory for confirmation.
Upgrade to a patched version of Adobe Commerce as recommended by Adobe. Consult the official Adobe Commerce security advisories for the latest fixed version.
While no active exploitation has been confirmed, the XSS nature of the vulnerability suggests it could be exploited. Monitor your systems and implement mitigations.
Refer to the official Adobe Security Bulletins page for the latest information and advisories regarding CVE-2026-21291.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.