プラットフォーム
adobe
コンポーネント
adobe-commerce
修正版
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21284は、Adobe Commerceにおける保存型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、高権限を持つ場合、悪意のあるスクリプトを脆弱なフォームフィールドに注入し、被害者のブラウザでJavaScriptを実行させることが可能です。この脆弱性は、Adobe Commerce 2.4.4-p16以前のバージョンに影響を与えます。バージョン2.4.9-alpha3以降で修正されています。
このXSS脆弱性を悪用されると、攻撃者は被害者のブラウザ上で任意のJavaScriptコードを実行できます。これにより、セッションの乗っ取り、機密情報の窃取、ウェブサイトの改ざんなどの攻撃が可能になります。特に、高権限を持つユーザーがフォームフィールドを操作している場合、攻撃の影響は甚大になる可能性があります。攻撃者は、悪意のあるスクリプトを通じて、ユーザーの認証情報を盗み出し、不正な操作を実行したり、他のシステムへのアクセスを試みたりする可能性があります。この脆弱性は、Adobe Commerceのセキュリティを著しく損なうものであり、迅速な対応が必要です。
この脆弱性は、2026年3月11日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVへの登録状況は不明です。Adobe Commerceのセキュリティアップデートを常に確認し、迅速に対応することが重要です。
Organizations using Adobe Commerce, particularly those running versions 2.4.4-p16 and earlier, are at risk. Deployment patterns involving custom form extensions or integrations that handle user input without proper sanitization are especially vulnerable. Shared hosting environments where multiple tenants share the same Adobe Commerce instance should also be prioritized for patching.
• wordpress / composer / npm:
grep -r 'vulnerable_form_field_name' /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'x-xss-protection'• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'content-security-policy'disclosure
エクスプロイト状況
EPSS
0.10% (28% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずAdobe Commerceをバージョン2.4.9-alpha3以降にアップデートすることを推奨します。アップデートが困難な場合は、入力値の検証を強化し、出力値を適切にエスケープすることで、XSS攻撃のリスクを軽減できます。Web Application Firewall (WAF) を導入し、XSS攻撃のパターンを検知・防御することも有効です。また、不必要なフォームフィールドの削除や、フォームのアクセス制限を設けることも効果的な対策となります。アップデート後、フォームフィールドの入力と表示が正常に行われていることを確認してください。
Adobe Commerce を最新バージョンにアップデートしてください。 詳細と具体的なアップデート手順については、Adobe のセキュリティアドバイザリを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-21284は、Adobe Commerce 2.4.4-p16以前のバージョンに存在する保存型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者は、悪意のあるスクリプトを注入し、被害者のブラウザでJavaScriptを実行させることが可能です。
はい、影響があります。セッションの乗っ取り、機密情報の窃取、ウェブサイトの改ざんなどの攻撃を受ける可能性があります。
Adobe Commerceをバージョン2.4.9-alpha3以降にアップデートしてください。アップデートが困難な場合は、入力値の検証や出力値のエスケープなどの対策を講じてください。
現時点では公的なエクスプロイトコードは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Adobe Security Bulletinを検索してください。https://www.adobe.com/security/bulletins/ にアクセスし、CVE-2026-21284を検索してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。