HIGHCVE-2026-21290CVSS 8.7

Adobe Commerce | クロスサイトスクリプティング (Stored XSS) (CWE-79)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21290は、Adobe Commerceにおいて発見された保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、被害者のブラウザ上で実行させることが可能になります。影響を受けるバージョンは、Adobe Commerce 2.4.9以前（2.4.4-p16を含む）です。Adobeは修正プログラムの提供を行っています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が悪意のあるJavaScriptコードをAdobe Commerceのフォームフィールドに注入することを可能にします。被害者がそのフォームを含むページを閲覧すると、注入されたスクリプトが実行され、攻撃者はセッション情報を盗み出す、またはユーザーの権限を乗っ取る可能性があります。これにより、機密情報の漏洩、データの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。この脆弱性の悪用は、ユーザーの操作を伴うため、広範囲に影響を及ぼす可能性があります。

悪用の状況

このCVEは2026年3月11日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。公開されたPoCは確認されていません。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "<script>" /var/www/html/app/code/Magento/*

• generic web:

curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy

• generic web: Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads. • generic web: Inspect form field input and output for unexpected HTML or JavaScript code.

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-12-12
公開日2026-03-11
更新日2026-03-12
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への対応として、まずAdobe Commerceを最新バージョン（2.4.9以降）にアップデートすることが最も効果的です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、入力値の検証を強化し、HTMLエンコードを適切に行うことで、XSS攻撃のリスクを軽減できます。アップデート後、Adobe Commerceのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

Adobe Commerce を最新バージョンにアップデートしてください。 詳細と具体的なアップデート手順については、Adobe のセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21290 — XSS in Adobe Commerceとは何ですか？

CVE-2026-21290は、Adobe Commerce 2.4.9以前のバージョンに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。攻撃者は悪意のあるスクリプトを注入し、被害者のブラウザ上で実行させることが可能になります。

CVE-2026-21290 in Adobe Commerceの影響はありますか？

はい、影響があります。この脆弱性を悪用されると、セッションハイジャックなどの攻撃につながる可能性があります。バージョン2.4.4-p16以前が影響を受けます。

CVE-2026-21290 in Adobe Commerceを修正するにはどうすればよいですか？

Adobe Commerceを最新バージョン（2.4.9以降）にアップデートすることが最も効果的です。アップデートが困難な場合は、WAFを導入するなど、緩和策を検討してください。

CVE-2026-21290は現在積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。

CVE-2026-21290に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobe Security Bulletinを検索してください。具体的なURLは、Adobeの公式ウェブサイトで確認できます。