HIGHCVE-2026-21290CVSS 8.7

Adobe Commerce | 跨站脚本攻击 (存储型 XSS) (CWE-79)

平台

adobe

组件

adobe-commerce

修复版本

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-21290 是Adobe Commerce中发现的一个存储型跨站脚本 (XSS) 漏洞。低权限攻击者可以利用此漏洞将恶意脚本注入到易受攻击的表单字段中。当用户浏览包含易受攻击字段的页面时，恶意 JavaScript 可能会在受害者的浏览器中执行。受影响的版本包括0–2.4.4-p16。此漏洞的利用需要用户交互。

影响与攻击场景

Adobe Commerce 的 CVE-2026-21290 是一个存储型跨站脚本 (XSS) 漏洞，影响 2.4.9-alpha3 及更早版本。低权限攻击者可以将恶意脚本注入到易受攻击的表单字段中。当受害者浏览包含易受攻击字段的页面时，恶意 JavaScript 可能会在其浏览器中执行，从而导致会话劫持、机密性和完整性受损。CVSS 评分达到 8.7，表明风险很高。由于没有提供修复程序 (fix: none)，情况更加严重，需要立即采取措施来降低风险。

利用背景

该攻击利用将恶意 JavaScript 代码注入到表单字段中。攻击者可以通过联系表单、评论或任何用户可以输入数据的其他字段来利用此漏洞。一旦注入，当用户访问页面时，脚本将自动执行，从而允许攻击者窃取会话 Cookie、将用户重定向到恶意网站或代表用户执行其他操作。

哪些人处于风险中翻译中…

Organizations utilizing Adobe Commerce versions 0–2.4.4-p16, particularly those with custom extensions or integrations that handle user input, are at significant risk. Shared hosting environments where multiple tenants share the same Adobe Commerce instance are also vulnerable, as an attacker compromising one tenant could potentially exploit this vulnerability to affect others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "<script>" /var/www/html/app/code/Magento/*

• generic web:

curl -I https://your-magento-site.com/form-page | grep Content-Security-Policy

• generic web: Check access and error logs for suspicious POST requests containing <script> tags or other XSS payloads. • generic web: Inspect form field input and output for unexpected HTML or JavaScript code.

攻击时间线

2026-03-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件adobe-commerce

供应商Adobe

影响范围修复版本

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分类 (CWE)

CWE-79

时间线

已保留2025-12-12
发布日期2026-03-11
修改日期2026-03-12
EPSS 更新日期2026-03-23

未修复 — 披露已74天

缓解措施和替代方案

由于没有提供官方修复程序 (fix: none)，缓解措施侧重于预防措施。强烈建议在将用户输入显示在页面上之前，在服务器端彻底验证所有用户输入。实施严格的内容安全策略 (CSP) 可以帮助减少恶意脚本执行的影响。积极监控服务器日志以查找可疑活动，并在 Adobe Commerce 安全补丁可用时立即应用至关重要。考虑使用漏洞扫描工具来识别和修复应用程序中的潜在弱点。

修复方法翻译中…

Actualice Adobe Commerce a la última versión disponible. Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-21290 是什么 — Adobe Commerce 中的 Cross-Site Scripting (XSS)？

2.4.9-alpha3、2.4.8-p3、2.4.7-p8、2.4.6-p13、2.4.5-p15、2.4.4-p16 以及更早版本受到影响。

Adobe Commerce 中的 CVE-2026-21290 是否会影响我？

Adobe 尚未发布此漏洞的直接修复程序。这强调了实施缓解措施的重要性。

如何修复 Adobe Commerce 中的 CVE-2026-21290？

实施服务器端输入验证、严格的内容安全策略 (CSP) 以及监控服务器日志是关键措施。

CVE-2026-21290 是否正在被积极利用？

CSP 是一种安全机制，允许开发人员控制浏览器允许加载的资源，从而降低 XSS 攻击的风险。

在哪里可以找到 Adobe Commerce 关于 CVE-2026-21290 的官方安全通告？

您可以在 OWASP (开放 Web 应用程序安全项目) 网站上找到有关 XSS 的更多信息: https://owasp.org/www-project-top-ten/XSSCross-SiteScripting