प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21290 Adobe Commerce में पाई गई एक संग्रहीत Cross-Site Scripting (XSS) भेद्यता है, जिसका उपयोग हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट करने के लिए कर सकते हैं। यह भेद्यता Adobe Commerce के संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पुराने संस्करणों को प्रभावित करती है। इस भेद्यता का शोषण करने के लिए उपयोगकर्ता की बातचीत की आवश्यकता होती है।
Adobe Commerce में CVE-2026-21290 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो संस्करण 2.4.9-alpha3 और पहले के संस्करणों को प्रभावित करती है। एक कम विशेषाधिकार प्राप्त हमलावर कमजोर फॉर्म फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। जब कोई पीड़ित कमजोर फ़ील्ड वाले पृष्ठ को ब्राउज़ करता है, तो दुर्भावनापूर्ण जावास्क्रिप्ट उसके ब्राउज़र में निष्पादित हो सकता है, जिससे सत्र अपहरण, गोपनीयता और अखंडता का उल्लंघन हो सकता है। CVSS स्कोर 8.7 है, जो उच्च जोखिम दर्शाता है। कोई फिक्स उपलब्ध न होने के कारण (फिक्स: कोई नहीं), स्थिति बिगड़ जाती है और जोखिम को कम करने के लिए तत्काल कार्रवाई की आवश्यकता होती है।
यह हमला दुर्भावनापूर्ण जावास्क्रिप्ट कोड को फॉर्म फ़ील्ड में इंजेक्ट करके काम करता है। एक हमलावर संपर्क फ़ॉर्म, टिप्पणियों या किसी अन्य फ़ील्ड के माध्यम से इसका फायदा उठा सकता है जहां उपयोगकर्ता डेटा इनपुट कर सकते हैं। एक बार इंजेक्ट हो जाने के बाद, जब कोई उपयोगकर्ता पृष्ठ को ब्राउज़ करता है तो स्क्रिप्ट स्वचालित रूप से निष्पादित हो जाती है, जिससे हमलावर सत्र कुकीज़ चुरा सकता है, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है या उपयोगकर्ता की ओर से अन्य क्रियाएं कर सकता है।
Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/app/code/Magento/*• generic web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• generic web:
Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads.
• generic web:
Inspect form field input and output for unexpected HTML or JavaScript code.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
कोई आधिकारिक फिक्स उपलब्ध न होने के कारण (फिक्स: कोई नहीं), शमन उपायों पर ध्यान केंद्रित किया गया है। पृष्ठ पर प्रदर्शित करने से पहले सर्वर-साइड पर सभी उपयोगकर्ता इनपुट को पूरी तरह से मान्य करने की पुरजोर अनुशंसा की जाती है। एक सख्त सामग्री सुरक्षा नीति (CSP) को लागू करने से दुर्भावनापूर्ण स्क्रिप्ट निष्पादन के प्रभाव को कम करने में मदद मिल सकती है। सर्वर लॉग की सक्रिय रूप से निगरानी करना और Adobe Commerce सुरक्षा पैच उपलब्ध होने पर तुरंत लागू करना महत्वपूर्ण है। एप्लिकेशन में संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने के लिए भेद्यता स्कैनिंग टूल का उपयोग करने पर विचार करें।
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पहले के संस्करण प्रभावित हैं।
Adobe ने अभी तक इस भेद्यता के लिए कोई सीधा फिक्स जारी नहीं किया है। यह शमन उपायों को लागू करने के महत्व पर प्रकाश डालता है।
सर्वर-साइड इनपुट सत्यापन, एक सख्त सामग्री सुरक्षा नीति (CSP) को लागू करना और सर्वर लॉग की निगरानी करना महत्वपूर्ण उपाय हैं।
CSP एक सुरक्षा तंत्र है जो डेवलपर्स को यह नियंत्रित करने की अनुमति देता है कि ब्राउज़र किन संसाधनों को लोड करने की अनुमति देता है, जिससे XSS हमलों का जोखिम कम होता है।
आप OWASP (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) वेबसाइट पर XSS के बारे में अधिक जानकारी पा सकते हैं: https://owasp.org/www-project-top-ten/XSSCross-SiteScripting
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।