MEDIUMCVE-2026-21292CVSS 5.4

Adobe Commerce | クロスサイトスクリプティング (Stored XSS) (CWE-79)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5

2.4.6

2.4.7

2.4.8

2.4.9

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21292は、Adobe Commerceにおける保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者は低権限で、脆弱なフォームフィールドに悪意のあるスクリプトを注入できる可能性があります。影響を受けるバージョンはAdobe Commerce 2.4.9以前（0–2.4.4-p16を含む）です。Adobeは修正を提供しています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者が悪意のあるスクリプトをAdobe Commerceのフォームフィールドに注入することを可能にします。攻撃者は、ユーザーが脆弱なページを閲覧した際に、そのスクリプトを実行させることができます。これにより、攻撃者はユーザーのブラウザ内で任意のJavaScriptコードを実行し、Cookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトのコンテンツを改ざんしたりする可能性があります。この脆弱性の影響範囲は、フォームフィールドが使用されているWebサイトの規模と、そのWebサイトを閲覧するユーザー数に依存します。

悪用の状況

このCVEは2026年3月11日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、ユーザーの操作が必要なため、自動的な大規模攻撃のリスクは比較的低いと考えられます。

リスク対象者翻訳中…

Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "<script" /var/www/html/app/code/Magento/...

• generic web:

curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy

• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5

0 – 2.4.5-p152.4.6

0 – 2.4.6-p132.4.7

0 – 2.4.7-p82.4.8

0 – 2.4.8-p32.4.9

0 – 2.4.9-alpha32.4.9

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-12-12
公開日2026-03-11
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

Adobeは、この脆弱性を修正するパッチをリリースしています。まず、Adobe Commerceをバージョン2.4.9以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、入力検証を強化し、出力エンコードを適切に行うことで、XSS攻撃のリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検出し、ブロックするように設定することも有効です。また、サードパーティ製のセキュリティプラグインを利用して、XSS攻撃を防止することも検討できます。

修正方法

Adobe Commerce を最新バージョンにアップデートしてください。詳細と具体的なアップデート手順については、Adobe セキュリティアドバイザリーを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21292 — XSS in Adobe Commerceとは何ですか？

CVE-2026-21292は、Adobe Commerce 2.4.9以前のバージョンに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。攻撃者は、脆弱なフォームフィールドに悪意のあるスクリプトを注入できる可能性があります。

CVE-2026-21292 in Adobe Commerceの影響はありますか？

はい、影響があります。攻撃者は、ユーザーのブラウザ内で任意のJavaScriptコードを実行し、Cookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトのコンテンツを改ざんしたりする可能性があります。

CVE-2026-21292 in Adobe Commerceを修正するにはどうすればよいですか？

Adobe Commerceをバージョン2.4.9以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、入力検証を強化し、出力エンコードを適切に行うことで、XSS攻撃のリスクを軽減できます。

CVE-2026-21292は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、将来的に悪用される可能性はあります。

CVE-2026-21292に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobe Security Bulletinを参照してください。詳細はAdobeの公式ウェブサイトで確認してください。