प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.9
CVE-2026-21292 Adobe Commerce में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। इस भेद्यता का शोषण करने पर, एक हमलावर दुर्भावनापूर्ण स्क्रिप्ट को कमजोर फॉर्म फ़ील्ड में इंजेक्ट कर सकता है, जिससे संभावित रूप से उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Adobe Commerce के संस्करण 0 से 2.4.4-p16 तक के संस्करणों को प्रभावित करती है। Adobe ने इस समस्या को ठीक करने के लिए अपडेट जारी किए हैं।
यह XSS भेद्यता हमलावरों को Adobe Commerce वेबसाइटों पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता प्रभावित पृष्ठ पर जाता है, तो स्क्रिप्ट निष्पादित हो सकती है, जिससे हमलावर उपयोगकर्ता के ब्राउज़र के माध्यम से संवेदनशील जानकारी चुरा सकता है, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है, या वेबसाइट की सामग्री को बदल सकता है। चूंकि शोषण के लिए उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, इसलिए हमलावरों को लक्षित उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक पर क्लिक करने या प्रभावित पृष्ठ पर जाने के लिए प्रेरित करने की आवश्यकता होगी। इस भेद्यता का उपयोग फ़िशिंग हमलों को अंजाम देने, उपयोगकर्ता क्रेडेंशियल्स चुराने या वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने के लिए किया जा सकता है।
CVE-2026-21292 को 2026-03-11 को प्रकाशित किया गया था। इस भेद्यता की गंभीरता मध्यम है, जिसका CVSS स्कोर 5.4 है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) अभी तक ज्ञात नहीं हैं, लेकिन XSS भेद्यता की प्रकृति के कारण, यह संभावना है कि शोषण जल्द ही उपलब्ध हो जाएंगे। इस समय, इस भेद्यता का सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं। NVD और CISA दोनों ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-21292 को कम करने के लिए, Adobe Commerce को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है, जो कि 2.4.4-p16 से ऊपर है। यदि तत्काल अपडेट संभव नहीं है, तो इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके XSS हमलों के जोखिम को कम किया जा सकता है। सभी उपयोगकर्ता इनपुट को सावधानीपूर्वक मान्य किया जाना चाहिए ताकि यह सुनिश्चित हो सके कि इसमें दुर्भावनापूर्ण स्क्रिप्ट नहीं हैं। आउटपुट एन्कोडिंग का उपयोग यह सुनिश्चित करने के लिए किया जाना चाहिए कि स्क्रिप्ट को ब्राउज़र द्वारा निष्पादित करने के बजाय सुरक्षित रूप से प्रदर्शित किया जाए। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग XSS हमलों को ब्लॉक करने के लिए भी किया जा सकता है।
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह Adobe Commerce में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप Adobe Commerce के संस्करण 0 से 2.4.4-p16 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Adobe Commerce को नवीनतम संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें।
वर्तमान में, इस भेद्यता का सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं, लेकिन सार्वजनिक शोषण जल्द ही उपलब्ध हो सकते हैं।
अधिक जानकारी के लिए Adobe की सुरक्षा सलाह और NVD डेटाबेस देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।