Platform
adobe
Component
adobe-commerce
Opgelost in
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.9
CVE-2026-21292 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in Adobe Commerce. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts te injecteren in specifieke formuliervelden binnen de applicatie. De kwetsbaarheid treft Adobe Commerce versies 0 tot en met 2.4.4-p16. Een patch is beschikbaar en wordt sterk aangeraden om de risico's te mitigeren.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het uitvoeren van kwaadaardige scripts in de browser van een slachtoffer. Dit kan resulteren in het stelen van sessiecookies, het omleiden van gebruikers naar phishing-sites, of het wijzigen van de inhoud van de webpagina. Aangezien de exploitatie gebruikersinteractie vereist (het bezoeken van een pagina met het kwetsbare formulier), is de impact afhankelijk van de bereikbaarheid van de pagina en de bereidheid van gebruikers om interactie te hebben. De kwetsbaarheid kan worden gebruikt om gevoelige informatie te stelen of om de functionaliteit van de applicatie te compromitteren.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 11 maart 2026. Er zijn momenteel geen bekende publieke proof-of-concept exploits beschikbaar. De CVSS score is 5.4 (MEDIUM), wat duidt op een gematigd risico. Het is onduidelijk of deze kwetsbaarheid momenteel actief wordt misbruikt, maar het is raadzaam om de beveiligingsmaatregelen te implementeren om potentiële aanvallen te voorkomen.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-21292 is het upgraden naar een beveiligde versie van Adobe Commerce. Adobe heeft een patch uitgebracht om deze kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de kwetsbare formuliervelden of het implementeren van strenge inputvalidatie. Controleer de Adobe Commerce security advisories voor specifieke instructies en aanbevolen configuraties. Na de upgrade, verifieer de fix door te proberen scripts te injecteren in de kwetsbare formuliervelden en te controleren of deze worden genegeerd.
Werk Adobe Commerce bij naar de laatste beschikbare versie. Raadpleeg het Adobe beveiligingsbulletin voor meer details en specifieke update-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-21292 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce affecting versions 0–2.4.4-p16, allowing attackers to inject malicious scripts into form fields.
You are affected if you are running Adobe Commerce versions 0–2.4.4-p16. Check your version and upgrade to a patched release as soon as possible.
Upgrade Adobe Commerce to a version containing the security patch. Consult Adobe's security advisories for specific fixed versions.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and should be addressed proactively.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/bulletins/adobe-commerce.html](https://www.adobe.com/security/bulletins/adobe-commerce.html)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.