Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
A vulnerabilidade de Cross-Site Scripting (XSS) armazenada no Adobe Commerce pode ser explorada por um atacante de alto privilégio para injetar scripts maliciosos em campos de formulário vulneráveis. Scripts JavaScript maliciosos podem ser executados no navegador de uma vítima ao navegar para a página contendo o campo vulnerável. Um atacante bem-sucedido pode usar isso para obter a posse da sessão, aumentando o impacto da confidencialidade e integridade para alto.
A vulnerabilidade XSS armazenada CVE-2026-21284 no Adobe Commerce afeta as versões 2.4.9-alpha3 e anteriores. Um atacante com privilégios elevados pode injetar scripts maliciosos em campos de formulário vulneráveis. Quando um usuário acessa uma página contendo o campo vulnerável, o JavaScript malicioso pode ser executado no navegador, levando potencialmente à tomada de controle da sessão, comprometendo a confidencialidade e a integridade. Esta vulnerabilidade é particularmente preocupante porque permite que os atacantes executem código arbitrário no contexto do usuário, o que pode levar à exfiltração de informações confidenciais, modificação de dados ou controle completo da conta.
A vulnerabilidade é explorada injetando código JavaScript malicioso em campos de formulário que não são adequadamente protegidos contra XSS. Um atacante pode conseguir isso por meio de várias técnicas, como a manipulação de parâmetros de URL, a injeção de código em campos de entrada ou a exploração de vulnerabilidades em plugins ou extensões de terceiros. O sucesso da exploração depende da capacidade do atacante de contornar as medidas de segurança existentes e da presença de um usuário vulnerável acessando a página comprometida. A pontuação CVSS de 8.1 indica uma vulnerabilidade significativa que requer atenção imediata.
Organizations using Adobe Commerce, particularly those running versions 2.4.4-p16 and earlier, are at risk. Deployment patterns involving custom form extensions or integrations that handle user input without proper sanitization are especially vulnerable. Shared hosting environments where multiple tenants share the same Adobe Commerce instance should also be prioritized for patching.
• wordpress / composer / npm:
grep -r 'vulnerable_form_field_name' /var/www/html/app/code/Magento/...• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'x-xss-protection'• generic web:
curl -I https://example.com/vulnerable_form_page.html | grep -i 'content-security-policy'disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
Atualmente, a Adobe não forneceu uma correção para esta vulnerabilidade. A mitigação imediata envolve uma revisão completa do código-fonte do Adobe Commerce em busca de pontos de entrada vulneráveis a XSS. Deve ser implementada uma validação e codificação rigorosas para todas as entradas do usuário antes de exibi-las na página. Limitar os privilégios do usuário e aplicar o princípio do menor privilégio também é recomendado para reduzir o impacto potencial de uma exploração bem-sucedida. Monitorar os logs do servidor em busca de atividades suspeitas é crucial. Os usuários afetados são fortemente aconselhados a manter-se informados sobre quaisquer atualizações ou patches que a Adobe possa lançar no futuro.
Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 e versões anteriores são afetadas.
Realize uma revisão de código, implemente validação e codificação rigorosas das entradas do usuário, limite os privilégios do usuário e monitore os logs do servidor.
Não, uma correção não está atualmente disponível. Mantenha-se informado sobre as atualizações da Adobe.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que os atacantes injetem scripts maliciosos em páginas da web visualizadas por outros usuários.
Uma pontuação CVSS de 8.1 indica uma vulnerabilidade de alta severidade que requer atenção imediata.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.