Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5-p15
2.4.6-p13
2.4.7-p8
2.4.8-p3
2.4.9-alpha3
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Adobe Commerce. Esta falha permite que um atacante de alto privilégio injete scripts maliciosos em campos de formulário vulneráveis. As versões afetadas incluem 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 e 2.4.4-p16, e versões anteriores. A correção oficial está disponível e a aplicação das atualizações é recomendada.
A exploração bem-sucedida desta vulnerabilidade XSS pode permitir que um atacante execute scripts maliciosos no navegador de um usuário. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página web exibida ao usuário. Dado que o Adobe Commerce é frequentemente utilizado para comércio eletrônico, o impacto pode ser significativo, incluindo o comprometimento de informações confidenciais de clientes, como dados de cartão de crédito e informações pessoais. A necessidade de interação do usuário para a exploração limita o potencial de ataques em massa, mas ainda representa um risco considerável em ambientes onde usuários com privilégios elevados estão presentes.
Esta vulnerabilidade foi divulgada em 11 de março de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog). A probabilidade de exploração é considerada baixa a média, dependendo da prevalência das versões vulneráveis e da conscientização sobre a vulnerabilidade. A existência de um requisito de interação do usuário reduz o risco, mas a natureza da XSS a torna um alvo persistente.
Organizations using Adobe Commerce versions 0–2.4.4-p16, particularly those with high-traffic storefronts or sensitive customer data, are at risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also at increased risk, as a compromise on one tenant's account could potentially affect others.
• magento / web:
grep -r "<script" /var/www/html/app/code/Magento/...• magento / web:
curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy• wordpress / composer / npm: Review plugin code for improper output encoding of user-supplied data in form fields. • generic web: Monitor access logs for unusual requests targeting form submission endpoints.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Adobe Commerce para uma versão corrigida. A Adobe lançou atualizações de segurança para resolver o problema. Se a atualização imediata não for possível, considere implementar workarounds, como a validação e sanitização rigorosas de todos os dados de entrada do usuário no lado do servidor. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de scripts maliciosos, mesmo que a vulnerabilidade não seja totalmente corrigida. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de script.
Atualize o Adobe Commerce para a última versão disponível. Certifique-se de aplicar os patches de segurança fornecidos pela Adobe para mitigar a vulnerabilidade XSS armazenada. Consulte o boletim de segurança da Adobe para obter instruções detalhadas sobre a atualização e aplicação de patches.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21291 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada no Adobe Commerce que permite a injeção de scripts maliciosos em campos de formulário, afetando versões até 2.4.4-p16.
Se você estiver utilizando o Adobe Commerce nas versões 0–2.4.4-p16, você está potencialmente afetado. Verifique se você aplicou as atualizações de segurança.
A correção é atualizar o Adobe Commerce para uma versão corrigida. Consulte o advisory de segurança da Adobe para obter instruções detalhadas.
Atualmente, não há relatos confirmados de exploração ativa, mas a natureza da XSS torna a vulnerabilidade um alvo potencial.
Consulte o site de segurança da Adobe para obter o advisory oficial e as instruções de correção: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.