प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21284 Adobe Commerce में पाई गई एक संग्रहीत Cross-Site Scripting (XSS) भेद्यता है, जिसका उपयोग हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने के लिए कर सकते हैं। यह भेद्यता Adobe Commerce के संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पुराने संस्करणों को प्रभावित करती है। इस भेद्यता का शोषण करने के लिए उपयोगकर्ता की बातचीत की आवश्यकता होती है।
Adobe Commerce में CVE-2026-21284 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो संस्करण 2.4.9-alpha3 और पहले के संस्करणों को प्रभावित करती है। एक उच्च-विशेषाधिकार प्राप्त हमलावर कमजोर फॉर्म फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। जब कोई उपयोगकर्ता कमजोर फ़ील्ड वाले पृष्ठ को ब्राउज़ करता है, तो दुर्भावनापूर्ण जावास्क्रिप्ट उनके ब्राउज़र में निष्पादित हो सकता है, जिससे सत्र अपहरण हो सकता है और गोपनीयता और अखंडता से समझौता हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह हमलावरों को उपयोगकर्ता के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति देता है, जिससे संवेदनशील जानकारी का रिसाव, डेटा संशोधन या खाते पर पूर्ण नियंत्रण हो सकता है।
यह भेद्यता दुर्भावनापूर्ण जावास्क्रिप्ट कोड को उन फॉर्म फ़ील्ड में इंजेक्ट करके शोषण किया जाता है जो XSS के खिलाफ पर्याप्त रूप से संरक्षित नहीं हैं। एक हमलावर विभिन्न तकनीकों का उपयोग करके ऐसा कर सकता है, जैसे कि URL पैरामीटर में हेरफेर करना, इनपुट फ़ील्ड में कोड इंजेक्ट करना या तृतीय-पक्ष प्लगइन्स या एक्सटेंशन में कमजोरियों का फायदा उठाना। शोषण की सफलता इस बात पर निर्भर करती है कि हमलावर मौजूदा सुरक्षा उपायों को बायपास करने में सक्षम है या नहीं और क्या एक कमजोर उपयोगकर्ता समझौता किए गए पृष्ठ तक पहुंच रहा है। CVSS स्कोर 8.1 एक महत्वपूर्ण भेद्यता का संकेत देता है जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
Organizations using Adobe Commerce, particularly those running versions 2.4.4-p16 and earlier, are at risk. Deployment patterns involving custom form extensions or integrations that handle user input without proper sanitization are especially vulnerable. Shared hosting environments where multiple tenants share the same Adobe Commerce instance should also be prioritized for patching.
• wordpress / composer / npm:
grep -r 'vulnerable_form_field_name' /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'x-xss-protection'• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'content-security-policy'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, Adobe ने इस भेद्यता के लिए कोई फिक्स प्रदान नहीं किया है। तत्काल शमन में XSS के लिए कमजोर प्रवेश बिंदुओं के लिए Adobe Commerce स्रोत कोड की गहन समीक्षा शामिल है। पृष्ठ पर प्रदर्शित करने से पहले सभी उपयोगकर्ता इनपुट के लिए सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू किया जाना चाहिए। उपयोगकर्ता विशेषाधिकारों को सीमित करना और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना भी अनुशंसित है ताकि सफल शोषण के संभावित प्रभाव को कम किया जा सके। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करना भी महत्वपूर्ण है। प्रभावित उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे Adobe द्वारा भविष्य में जारी किए जा सकने वाले किसी भी अपडेट या पैच के बारे में जानकारी रखें।
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पहले के संस्करण प्रभावित हैं।
कोड समीक्षा करें, सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें, उपयोगकर्ता विशेषाधिकारों को सीमित करें और सर्वर लॉग की निगरानी करें।
नहीं, वर्तमान में कोई फिक्स उपलब्ध नहीं है। Adobe अपडेट के बारे में जानकारी रखें।
XSS (क्रॉस-साइट स्क्रिप्टिंग) एक प्रकार की सुरक्षा भेद्यता है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
CVSS स्कोर 8.1 एक उच्च-गंभीरता भेद्यता का संकेत देता है जिसके लिए तत्काल ध्यान देने की आवश्यकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।