Plataforma
adobe
Componente
adobe-commerce
Corrigido em
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.9
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no Adobe Commerce. Essa falha permite que um atacante de baixo privilégio injete scripts maliciosos em campos de formulário vulneráveis, potencialmente comprometendo a segurança dos usuários. As versões afetadas incluem 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15 e 2.4.4-p16 e versões anteriores. A correção oficial está disponível e a aplicação das atualizações é recomendada.
A exploração bem-sucedida desta vulnerabilidade XSS armazenada pode permitir que um atacante execute scripts maliciosos no navegador de um usuário. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação do conteúdo da página web exibida ao usuário. O impacto pode variar dependendo do contexto da aplicação e das permissões do usuário afetado. Em cenários mais graves, um atacante poderia obter acesso a informações confidenciais ou até mesmo comprometer a integridade do sistema. A necessidade de interação do usuário (navegação na página vulnerável) limita o impacto, mas a ampla utilização do Adobe Commerce aumenta o risco geral.
A vulnerabilidade foi divulgada em 11 de março de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV da CISA. A existência de uma vulnerabilidade XSS, mesmo que com interação do usuário, representa um risco significativo devido à facilidade de exploração e ao potencial impacto. A ausência de um PoC público não elimina o risco, mas indica um nível de complexidade maior para a exploração.
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Adobe Commerce para uma versão corrigida. A Adobe disponibilizou atualizações para as versões afetadas. Se a atualização imediata não for possível, considere implementar workarounds como a validação e sanitização rigorosas de todos os dados de entrada do usuário no lado do servidor. Implementar políticas de Content Security Policy (CSP) pode ajudar a mitigar o impacto de scripts maliciosos, restringindo as fontes de onde o navegador pode carregar recursos. Monitore os logs do servidor e do aplicativo em busca de atividades suspeitas, como tentativas de injeção de script.
Atualize o Adobe Commerce para a última versão disponível. Consulte o boletim de segurança da Adobe para obter mais detalhes e instruções específicas de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-21292 is a stored Cross-Site Scripting (XSS) vulnerability in Adobe Commerce affecting versions 0–2.4.4-p16, allowing attackers to inject malicious scripts into form fields.
You are affected if you are running Adobe Commerce versions 0–2.4.4-p16. Check your version and upgrade to a patched release as soon as possible.
Upgrade Adobe Commerce to a version containing the security patch. Consult Adobe's security advisories for specific fixed versions.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known and should be addressed proactively.
Refer to the official Adobe Security Bulletin for details: [https://www.adobe.com/security/bulletins/adobe-commerce.html](https://www.adobe.com/security/bulletins/adobe-commerce.html)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.