Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Adobe Commerce (anteriormente conhecido como Magento). Essa falha permite que um atacante de baixo privilégio injete scripts maliciosos em campos de formulário vulneráveis. A execução de JavaScript malicioso no navegador da vítima pode resultar em roubo de sessão e comprometer a confidencialidade e integridade dos dados, afetando versões de 0 a 2.4.4-p16. A Adobe lançou correções para mitigar este risco.
A exploração bem-sucedida desta vulnerabilidade XSS armazenada permite que um atacante injete código JavaScript malicioso em campos de formulário do Adobe Commerce. Quando um usuário acessa a página contendo o campo vulnerável, o script injetado é executado no navegador da vítima. Isso pode levar à captura de sessão, permitindo que o atacante assuma o controle da conta do usuário. Além disso, o atacante pode usar essa vulnerabilidade para redirecionar usuários para sites maliciosos, exibir conteúdo falso ou roubar informações confidenciais, como credenciais de login ou dados de cartão de crédito. O impacto é amplificado em ambientes de e-commerce, onde informações sensíveis são frequentemente processadas.
A vulnerabilidade foi divulgada em 11 de março de 2026. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a pontuação EPSS (Exploit Prediction Scoring System). Atualmente, não há Proof-of-Concept (PoC) públicos amplamente divulgados, mas a natureza da vulnerabilidade XSS sugere que PoCs podem ser desenvolvidos rapidamente. É importante monitorar a situação e aplicar as correções ou medidas de mitigação o mais rápido possível.
Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/app/code/Magento/*• generic web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• generic web:
Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads.
• generic web:
Inspect form field input and output for unexpected HTML or JavaScript code.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o Adobe Commerce para uma versão corrigida (superior a 2.4.4-p16). Se a atualização imediata não for possível, considere implementar medidas de mitigação. Implemente regras de Web Application Firewall (WAF) para filtrar solicitações HTTP que contenham payloads XSS conhecidos. Valide e sanitize rigorosamente todas as entradas de usuário antes de exibi-las em páginas web. Desative ou remova quaisquer funcionalidades desnecessárias que possam ser exploradas para injetar scripts maliciosos. Monitore logs de acesso e erro em busca de padrões suspeitos que possam indicar tentativas de exploração. Após a atualização, confirme a correção verificando se os campos de formulário não permitem a injeção de scripts.
Atualize o Adobe Commerce para a última versão disponível. Consulte o boletim de segurança da Adobe para obter mais detalhes e instruções específicas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21290 is a stored Cross-Site Scripting (XSS) vulnerability affecting Adobe Commerce versions 0–2.4.4-p16, allowing attackers to inject malicious scripts.
If you are running Adobe Commerce versions 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, or 2.4.4-p16 or earlier, you are potentially affected.
Upgrade to a patched version of Adobe Commerce as specified in the official Adobe Security Bulletin. Implement input validation and output encoding as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Adobe Security Bulletin for detailed information and patching instructions: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.