Plateforme
adobe
Composant
adobe-commerce
Corrigé dans
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans Adobe Commerce. Cette faille permet à un attaquant privilégié d'injecter des scripts malveillants dans des champs de formulaire vulnérables. L'exécution de JavaScript malveillant dans le navigateur d'une victime peut entraîner une prise de contrôle de session, affectant les versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 et 2.4.4-p16 et antérieures. Une correction est disponible.
L'impact de cette vulnérabilité XSS est significatif. Un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans des champs de formulaire d'Adobe Commerce. Lorsque les utilisateurs visitent la page contenant le champ vulnérable, le script malveillant s'exécute dans leur navigateur. Cela peut permettre à l'attaquant de voler des cookies de session, de modifier le contenu de la page web, ou même de rediriger l'utilisateur vers un site web malveillant. La prise de contrôle de session est un risque majeur, permettant à l'attaquant d'agir au nom de l'utilisateur compromis, avec un accès potentiellement élevé au système. Des attaques similaires ont démontré la capacité d'exfiltration de données sensibles et de manipulation des processus métier.
Cette vulnérabilité a été rendue publique le 2026-03-11. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La présence d'une vulnérabilité XSS stockée, combinée à la possibilité de prise de contrôle de session, lui confère une probabilité d'exploitation potentiellement élevée. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuels PoCs ou rapports d'exploitation.
Organizations using Adobe Commerce for their e-commerce operations are at risk, particularly those running versions 0–2.4.4-p16. Shared hosting environments that utilize Adobe Commerce are also at increased risk, as vulnerabilities in one tenant can potentially impact others. Businesses that have not implemented robust input validation and sanitization practices are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable-form | grep Content-Type• generic web: Check access and error logs for unusual JavaScript injection attempts. • generic web: Inspect form field input validation and sanitization routines for weaknesses.
disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Commerce vers une version corrigée. Adobe a publié une correction pour cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en œuvre. Il est recommandé de désactiver temporairement les fonctionnalités de formulaire qui pourraient être vulnérables. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les tentatives d'injection de scripts malveillants. Vérifiez également les configurations de sécurité de votre instance Adobe Commerce, en vous assurant que les politiques de sécurité du contenu (CSP) sont correctement configurées pour limiter l'exécution de scripts provenant de sources non fiables. Après la mise à jour, confirmez l'absence de la vulnérabilité en effectuant des tests de pénétration ciblés sur les champs de formulaire.
Mettez à jour Adobe Commerce vers la dernière version disponible. Cela corrigera la vulnérabilité XSS stockée. Consultez l'avis de sécurité d'Adobe pour plus de détails et des instructions de mise à jour spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-21311 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce versions 0–2.4.4-p16, allowing attackers to inject malicious scripts into form fields.
You are affected if you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier.
Upgrade Adobe Commerce to a version with the security patch. If upgrading is not immediately possible, implement a WAF or input validation.
While no public exploits are currently available, the vulnerability's severity and potential impact suggest a high risk of exploitation.
Refer to the official Adobe Security Bulletin for details and updates: [https://www.adobe.com/security/advisories/CVE-2026-21311.html](https://www.adobe.com/security/advisories/CVE-2026-21311.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.