प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21291 Adobe Commerce में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट को कमजोर फ़ॉर्म फ़ील्ड में इंजेक्ट करने की अनुमति दे सकती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या उपयोगकर्ता को दुर्भावनापूर्ण कार्यों को करने के लिए धोखा दिया जा सकता है। यह भेद्यता Adobe Commerce के संस्करण 0 से 2.4.4-p16 तक के संस्करणों को प्रभावित करती है। Adobe ने इस समस्या के लिए एक पैच जारी किया है।
यह XSS भेद्यता हमलावरों को Adobe Commerce वेबसाइट पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है, तो स्क्रिप्ट निष्पादित हो जाएगी, जिससे हमलावर उपयोगकर्ता के ब्राउज़र के माध्यम से संवेदनशील जानकारी चुरा सकता है, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है या उपयोगकर्ता के खाते को नियंत्रित कर सकता है। चूंकि शोषण के लिए उपयोगकर्ता की बातचीत की आवश्यकता होती है, इसलिए हमलावर को उपयोगकर्ता को दुर्भावनापूर्ण पृष्ठ पर जाने के लिए प्रेरित करने की आवश्यकता होगी, जैसे कि फ़िशिंग ईमेल या दुर्भावनापूर्ण लिंक के माध्यम से। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने, डेटा चोरी करने या उपयोगकर्ताओं को वित्तीय नुकसान पहुंचाने के लिए किया जा सकता है।
CVE-2026-21291 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है, और इसका EPSS (Exploit Prediction Score System) स्कोर मध्यम होने की संभावना है, जो इंगित करता है कि इसका शोषण होने की मध्यम संभावना है। इस भेद्यता के बारे में 2026-03-11 को सार्वजनिक रूप से खुलासा किया गया था।
Organizations using Adobe Commerce versions 0–2.4.4-p16, particularly those with high-traffic storefronts or sensitive customer data, are at risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also at increased risk, as a compromise on one tenant's account could potentially affect others.
• magento / web:
grep -r "<script" /var/www/html/app/code/Magento/...• magento / web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• wordpress / composer / npm: Review plugin code for improper output encoding of user-supplied data in form fields. • generic web: Monitor access logs for unusual requests targeting form submission endpoints.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-21291 के लिए प्राथमिक शमन Adobe Commerce को संस्करण 2.4.4-p16 से आगे के एक पैच किए गए संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने पर विचार करें ताकि XSS हमलों को रोका जा सके। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज़ करें, और सुनिश्चित करें कि सभी आउटपुट को उचित रूप से एन्कोड किया गया है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी संभावित XSS भेद्यताओं की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं।
Adobe Commerce को नवीनतम उपलब्ध संस्करण में अपडेट करें। स्टोर्ड XSS भेद्यता को कम करने के लिए Adobe द्वारा प्रदान किए गए सुरक्षा पैच लागू करना सुनिश्चित करें। अपडेट और पैच लागू करने के बारे में विस्तृत निर्देशों के लिए Adobe सुरक्षा बुलेटिन देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-21291 Adobe Commerce में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Adobe Commerce के संस्करण 0 से 2.4.4-p16 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Adobe Commerce को संस्करण 2.4.4-p16 से आगे के एक पैच किए गए संस्करण में अपडेट करें।
CVE-2026-21291 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं।
Adobe की सुरक्षा सलाह वेबसाइट पर जाएँ: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।