HIGHCVE-2026-21311CVSS 8

Adobe Commerce | クロスサイトスクリプティング (Stored XSS) (CWE-79)

プラットフォーム

adobe

コンポーネント

adobe-commerce

修正版

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-21311は、Adobe Commerceにおける保存型クロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、被害者のブラウザ上で実行させることが可能となり、セッションの乗っ取りなどの深刻な被害をもたらす可能性があります。影響を受けるバージョンは、Adobe Commerce 2.4.9以前（2.4.4-p16を含む）です。Adobeは、最新バージョンへのアップデートを推奨しています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がAdobe Commerceのフォームフィールドに悪意のあるJavaScriptコードを注入することを可能にします。被害者がそのページを閲覧すると、注入されたスクリプトが実行され、攻撃者はセッション情報を盗み出し、被害者の権限を乗っ取ることができます。これにより、機密情報の漏洩、データの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、高権限を持つユーザーのセッションを乗っ取られた場合、その影響は甚大となるでしょう。この脆弱性の悪用は、ユーザーの信頼を損ない、ビジネスに重大な損害を与える可能性があります。

悪用の状況

この脆弱性は、Adobeによって2026年3月11日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。公開されている情報に基づき、攻撃者はこの脆弱性を利用して、機密情報を盗み出したり、Webサイトを改ざんしたりする可能性があります。Adobe Commerceのセキュリティアドバイザリを定期的に確認し、最新の情報を把握することが重要です。

リスク対象者翻訳中…

Organizations using Adobe Commerce for their e-commerce operations are at risk, particularly those running versions 0–2.4.4-p16. Shared hosting environments that utilize Adobe Commerce are also at increased risk, as vulnerabilities in one tenant can potentially impact others. Businesses that have not implemented robust input validation and sanitization practices are also more vulnerable.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r "<script" /var/www/html/app/code/Magento/...

• generic web:

curl -I https://example.com/vulnerable-form | grep Content-Type

• generic web: Check access and error logs for unusual JavaScript injection attempts. • generic web: Inspect form field input validation and sanitization routines for weaknesses.

攻撃タイムライン

2026-03-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.11% (29% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-commerce

ベンダーAdobe

影響範囲修正版

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-12-12
公開日2026-03-11
更新日2026-03-12
EPSS 更新日2026-03-23

未パッチ — 公開から74日経過

緩和策と回避策

この脆弱性への対応として、まずAdobe Commerceを最新バージョン（2.4.9以降）にアップデートすることが最も効果的です。アップデートが困難な場合は、入力値の検証を強化し、出力時にエスケープ処理を徹底することで、XSS攻撃のリスクを軽減できます。Web Application Firewall (WAF) を導入し、XSS攻撃のパターンを検知・遮断するルールを設定することも有効です。また、不必要なフォームフィールドの削除や、フォームの入力制限を設けることで、攻撃対象領域を狭めることができます。アップデート後、システムにログインし、フォームフィールドに特殊文字を入力して、スクリプトが実行されないことを確認してください。

修正方法

Adobe Commerce を利用可能な最新バージョンにアップデートしてください。 これにより、Stored XSS 脆弱性が修正されます。 詳細と具体的なアップデート手順については、Adobe のセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-21311 — XSS in Adobe Commerceとは何ですか？

CVE-2026-21311は、Adobe Commerce 2.4.9以前のバージョンに存在する保存型クロスサイトスクリプティング（XSS）脆弱性です。攻撃者は悪意のあるスクリプトを注入し、被害者のブラウザ上で実行させることが可能となります。

CVE-2026-21311 in Adobe Commerceの影響はありますか？

はい、影響があります。この脆弱性を悪用されると、セッションハイジャックなどの深刻な被害が発生する可能性があります。バージョン2.4.4-p16以前が影響を受けます。

CVE-2026-21311 in Adobe Commerceを修正するにはどうすればよいですか？

Adobe Commerceを最新バージョン（2.4.9以降）にアップデートすることが最も効果的です。アップデートが困難な場合は、入力値の検証を強化し、出力時にエスケープ処理を徹底してください。

CVE-2026-21311は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、早急な対応が必要です。

CVE-2026-21311に関するAdobe Commerceの公式アドバイザリはどこで入手できますか？

Adobeのセキュリティアドバイザリページで確認できます。詳細はAdobeの公式ドキュメントを参照してください。