MEDIUMCVE-2026-21291CVSS 4.8

Adobe Commerce | クロスサイトスクリプティング (Stored XSS) (CWE-79)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21291は、Adobe Commerceに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、攻撃者が悪意のあるスクリプトをウェブサイトに埋め込み、ユーザーがそのページを閲覧した際にスクリプトが実行されることを可能にします。影響を受けるバージョンはAdobe Commerce 2.4.9以前、特に0–2.4.4-p16です。2026年3月11日に公開され、バージョンアップによる修正が推奨されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者はユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、Cookieの窃取、セッションハイジャック、悪意のあるウェブサイトへのリダイレクト、またはウェブサイトの改ざんが可能になります。特に、高権限を持つユーザー（管理者など）が影響を受ける場合、システム全体への深刻な損害につながる可能性があります。攻撃者は、脆弱なフォームフィールドに悪意のあるスクリプトを注入し、ユーザーがそのフォームを送信または表示した際にスクリプトが実行されるように仕向けます。この脆弱性は、Log4Shellのようなサプライチェーン攻撃と同様に、広範囲に影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、2026年3月11日に公開されており、現時点では公的に利用可能なPoC（Proof of Concept）は確認されていません。CISA KEVカタログへの登録状況は不明です。しかし、XSS脆弱性は一般的に悪用されやすく、今後、攻撃者による悪用が確認される可能性があります。攻撃者は、脆弱なAdobe Commerceインスタンスをスキャンし、自動的にXSSペイロードを注入するツールを使用する可能性があります。

リスク対象者翻訳中…

Organizations using Adobe Commerce versions 0–2.4.4-p16, particularly those with high-traffic storefronts or sensitive customer data, are at risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also at increased risk, as a compromise on one tenant's account could potentially affect others.

検出手順翻訳中…

• magento / web:

grep -r "<script" /var/www/html/app/code/Magento/...

• magento / web:

curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy

• wordpress / composer / npm: Review plugin code for improper output encoding of user-supplied data in form fields. • generic web: Monitor access logs for unusual requests targeting form submission endpoints.

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-12-12
公開日2026-03-11
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への対応策として、まずAdobe Commerceを最新バージョン（2.4.9以降）にアップグレードすることを強く推奨します。アップグレードが困難な場合は、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力検証を強化し、フォームフィールドへの入力値を適切にサニタイズすることで、攻撃のリスクを軽減できます。さらに、セキュリティパッチの適用状況を定期的に監視し、最新のセキュリティ情報を収集することが重要です。アップグレード後、XSS攻撃に対する防御機能が正常に動作していることを確認してください。

修正方法

Adobe Commerce を最新バージョンにアップデートしてください。Adobe が提供するセキュリティパッチを適用して、保存型 XSS 脆弱性を軽減してください。詳細なアップデートおよびパッチ適用手順については、Adobe のセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21291 — XSS in Adobe Commerceとは何ですか？

CVE-2026-21291は、Adobe Commerce 2.4.9以前のバージョンに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。攻撃者は悪意のあるスクリプトを注入し、ユーザーがページを閲覧した際に実行させることができます。

CVE-2026-21291 in Adobe Commerceの影響はありますか？

はい、Adobe Commerceのバージョン0–2.4.4-p16を使用している場合は影響を受けます。この脆弱性を悪用されると、Cookieの窃取やウェブサイトの改ざんなどの被害を受ける可能性があります。

CVE-2026-21291 in Adobe Commerceを修正するにはどうすればよいですか？

Adobe Commerceをバージョン2.4.9以降にアップグレードすることを強く推奨します。アップグレードが困難な場合は、WAFを導入するなど、緩和策を検討してください。

CVE-2026-21291は積極的に悪用されていますか？

現時点では公的な悪用事例は確認されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性であるため、今後悪用される可能性があります。

CVE-2026-21291に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobe Security Bulletinを参照してください。詳細はAdobeの公式ウェブサイトで確認してください。