Platform
adobe
Component
adobe-commerce
Opgelost in
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
CVE-2026-21290 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in Adobe Commerce. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in formuliervelden te injecteren, wat kan leiden tot sessie-overname en compromittering van de integriteit en vertrouwelijkheid. De kwetsbaarheid treft versies van Adobe Commerce tot en met 2.4.4-p16. Een beveiligingsupdate is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan kwaadaardige JavaScript-code injecteren in formuliervelden, die vervolgens wordt uitgevoerd in de browser van een slachtoffer wanneer deze de pagina bezoekt. Dit kan worden gebruikt om sessiecookies te stelen, waardoor de aanvaller zich kan voordoen als de gebruiker en toegang kan krijgen tot gevoelige gegevens en functionaliteit. De impact kan verder reiken dan alleen de individuele gebruiker, aangezien een aanvaller mogelijk ook andere gebruikers kan aanvallen via de besmette pagina. De mogelijkheid tot sessie-overname verhoogt de impact aanzienlijk.
Op het moment van publicatie (2026-03-11) is er geen publieke exploitatie bevestigd. De kwetsbaarheid is echter van hoog niveau (CVSS 8.7), wat wijst op een potentieel hoog risico. Er is geen vermelding op de CISA KEV catalogus. Het is aan te raden om de kwetsbaarheid te patchen om verdere exploitatie te voorkomen.
Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/app/code/Magento/*• generic web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• generic web:
Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads.
• generic web:
Inspect form field input and output for unexpected HTML or JavaScript code.
disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-21290 is het upgraden van Adobe Commerce naar een beveiligde versie. Adobe heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de functionaliteit van formuliervelden of het implementeren van strenge inputvalidatie. Het gebruik van een Web Application Firewall (WAF) kan ook helpen om aanvallen te blokkeren. Controleer de officiële Adobe Commerce beveiligingsadviezen voor specifieke configuratie-aanpassingen en tijdelijke oplossingen.
Werk Adobe Commerce bij naar de laatste beschikbare versie. Raadpleeg het Adobe beveiligingsbulletin voor meer details en specifieke update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-21290 is a stored Cross-Site Scripting (XSS) vulnerability affecting Adobe Commerce versions 0–2.4.4-p16, allowing attackers to inject malicious scripts.
If you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier, you are potentially affected.
Upgrade to a patched version of Adobe Commerce as specified in the official Adobe Security Bulletin. Implement input validation and output encoding as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Adobe Security Bulletin for detailed information and patching instructions: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.