Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.9
La vulnérabilité CVE-2026-21292 est une faille de Cross-Site Scripting (XSS) stockée affectant Adobe Commerce. Cette faille permet à un attaquant de potentiellement injecter des scripts malveillants dans des champs de formulaire vulnérables, compromettant ainsi la sécurité des utilisateurs. Les versions concernées sont celles antérieures à 2.4.9-alpha3, incluant 2.4.4-p16. Une correction est disponible et recommandée.
Un attaquant exploitant avec succès cette vulnérabilité XSS stockée peut exécuter du code JavaScript malveillant dans le contexte du navigateur d'un utilisateur. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu de la page web affichée à l'utilisateur, ou à l'exécution d'actions en son nom. L'exploitation nécessite une interaction de l'utilisateur, c'est-à-dire que la victime doit naviguer vers la page contenant le champ vulnérable. Le risque est aggravé si Adobe Commerce est utilisé pour des transactions sensibles, car un attaquant pourrait potentiellement voler des informations d'identification ou des données financières.
La vulnérabilité CVE-2026-21292 a été rendue publique le 11 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nécessité d'une interaction de l'utilisateur et de la disponibilité d'une correction. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée (2.4.9-alpha3 ou ultérieure). En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de désactiver temporairement les fonctionnalités permettant aux utilisateurs de soumettre du contenu non filtré dans les formulaires. L'utilisation d'un Web Application Firewall (WAF) avec des règles de filtrage XSS peut également aider à atténuer le risque. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour Adobe Commerce vers la dernière version disponible. Consultez le bulletin de sécurité d'Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21292 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce affecting versions 0–2.4.4-p16, allowing attackers to inject malicious scripts into form fields.
You are affected if you are running Adobe Commerce versions 0–2.4.4-p16. Check your version and upgrade to a patched release as soon as possible.
Upgrade Adobe Commerce to a version containing the security patch. Consult Adobe's security advisories for specific fixed versions.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and should be addressed proactively.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/bulletins/adobe-commerce.html](https://www.adobe.com/security/bulletins/adobe-commerce.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.