प्लेटफ़ॉर्म
adobe
घटक
adobe-commerce
में ठीक किया गया
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Adobe Commerce में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है, जो हमलावरों को असुरक्षित फॉर्म फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दे सकती है। इस स्क्रिप्ट के निष्पादन से पीड़ित के ब्राउज़र में सत्र नियंत्रण जैसी गंभीर समस्याएं हो सकती हैं। यह भेद्यता Adobe Commerce के संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और पुराने संस्करणों को प्रभावित करती है। अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है।
Adobe Commerce में CVE-2026-21311 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो संस्करण 2.4.9-alpha3 और पहले के संस्करणों को प्रभावित करती है। एक उच्च-विशेषाधिकार प्राप्त हमलावर कमजोर फ़ॉर्म फ़ील्ड में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है। जब कोई उपयोगकर्ता कमजोर फ़ील्ड वाले पृष्ठ को ब्राउज़ करता है, तो दुर्भावनापूर्ण जावास्क्रिप्ट उसके ब्राउज़र में निष्पादित हो सकता है, जिससे सत्र अपहरण, गोपनीयता और अखंडता का उल्लंघन हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह हमलावरों को उपयोगकर्ता के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे डेटा हेरफेर, क्रेडेंशियल चोरी और अन्य दुर्भावनापूर्ण क्रियाएं हो सकती हैं। कोई सीधा समाधान (फिक्स: कोई नहीं) उपलब्ध न होने के कारण, तत्काल ध्यान देने और शमन उपायों को लागू करने की आवश्यकता है।
यह भेद्यता कमजोर फ़ॉर्म फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करके शोषण किया जाता है जो ठीक से सुरक्षित नहीं हैं। एक हमलावर इसे विभिन्न तरीकों से प्राप्त कर सकता है, जैसे कि URL पैरामीटर में हेरफेर करना, दुर्भावनापूर्ण फ़ाइलें अपलोड करना या टेक्स्ट फ़ील्ड में कोड इंजेक्ट करना। दुर्भावनापूर्ण कोड इंजेक्ट होने के बाद, जब उपयोगकर्ता प्रभावित पृष्ठ पर जाता है तो यह उसके ब्राउज़र में निष्पादित होता है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि एक उच्च-विशेषाधिकार प्राप्त हमलावर इसका उपयोग संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने या उपयोगकर्ता खाते को नियंत्रित करने के लिए कर सकता है। आधिकारिक पैच की अनुपलब्धता शोषण के जोखिम को बढ़ाती है।
Organizations using Adobe Commerce for their e-commerce operations are at risk, particularly those running versions 0–2.4.4-p16. Shared hosting environments that utilize Adobe Commerce are also at increased risk, as vulnerabilities in one tenant can potentially impact others. Businesses that have not implemented robust input validation and sanitization practices are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable-form | grep Content-Type• generic web: Check access and error logs for unusual JavaScript injection attempts. • generic web: Inspect form field input validation and sanitization routines for weaknesses.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.11% (29% शतमक)
CISA SSVC
CVSS वेक्टर
किसी आधिकारिक फिक्स (फिक्स: कोई नहीं) की अनुपलब्धता को देखते हुए, तत्काल शमन उपायों की दृढ़ता से अनुशंसा की जाती है। इनमें सर्वर-साइड पर कठोर इनपुट सत्यापन और स्वच्छता, कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करके जावास्क्रिप्ट स्रोतों को प्रतिबंधित करना और प्लेटफ़ॉर्म पर संदिग्ध गतिविधि की निरंतर निगरानी शामिल है। इसके अतिरिक्त, एक फिक्स जारी होने के बाद नवीनतम उपलब्ध Adobe Commerce संस्करण में अपग्रेड करने की सलाह दी जाती है। शोषण के जोखिम को कम करने के लिए 'गहराई में रक्षा' दृष्टिकोण लागू करना महत्वपूर्ण है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) लागू करने पर विचार करें।
Actualice Adobe Commerce a la última versión disponible. Esto solucionará la vulnerabilidad XSS almacenada. Consulte el aviso de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
संस्करण 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 और सभी पहले के संस्करण प्रभावित हैं।
इसका मतलब है कि घोषणा के प्रकाशन के समय Adobe ने इस भेद्यता के लिए कोई फिक्स (पैच) जारी नहीं किया है।
यह वेब सुरक्षा भेद्यता का एक प्रकार है जहां एक हमलावर दुर्भावनापूर्ण कोड (आमतौर पर जावास्क्रिप्ट) को एक वेबसाइट में इंजेक्ट कर सकता है, जिसे बाद में पृष्ठ पर जाने वाले अन्य उपयोगकर्ताओं के ब्राउज़र में निष्पादित किया जाता है।
इनपुट सत्यापन, स्वच्छता, CSP लागू करें, संदिग्ध गतिविधि की निगरानी करें और एक पैच जारी होने के बाद नवीनतम संस्करण में अपग्रेड करें।
अधिक विवरण के लिए Adobe Commerce सुरक्षा घोषणा देखें: [Adobe Commerce सुरक्षा घोषणा लिंक (यदि उपलब्ध हो)]।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।