平台
adobe
组件
adobe-commerce
修复版本
2.4.5
2.4.6
2.4.7
2.4.8
2.4.9
2.4.9
CVE-2026-21292 是 Adobe Commerce 中发现的存储型跨站脚本 (XSS) 漏洞。攻击者可以利用此漏洞将恶意脚本注入到易受攻击的表单字段中,从而可能导致用户执行未经授权的操作。此漏洞影响 Adobe Commerce 2.4.9-alpha3 之前的版本,包括 2.4.4-p16 及更早版本。已于 2026 年 3 月 11 日发布。
攻击者可以利用此 XSS 漏洞将恶意 JavaScript 代码注入到 Adobe Commerce 网站的表单字段中。当受害者访问包含恶意脚本的页面时,脚本将在用户的浏览器中执行。这可能导致攻击者窃取用户的 Cookie、会话令牌或其他敏感信息。攻击者还可以利用此漏洞重定向用户到恶意网站、篡改网站内容或执行其他恶意操作。由于需要用户交互(浏览到包含漏洞表单的页面),因此攻击的成功率取决于用户是否会点击恶意链接或访问被篡改的页面。
目前尚无公开的漏洞利用程序 (PoC) 可用,但由于 XSS 漏洞的普遍性,预计未来可能会出现。此漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations heavily reliant on Adobe Commerce for their e-commerce operations are at significant risk. Specifically, those running older, unpatched versions (0–2.4.4-p16) are particularly vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure could also be affected if one tenant's instance is compromised.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/app/code/Magento/...• generic web:
curl -I https://your-magento-site.com/vulnerable-form | grep Content-Security-Policy• generic web: Review access logs for unusual POST requests to form submission endpoints, especially those containing suspicious characters or patterns.
disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
Adobe 建议用户立即升级到已修复的版本。具体来说,升级到 Adobe Commerce 2.4.9 或更高版本可以解决此漏洞。如果无法立即升级,可以考虑实施一些临时缓解措施,例如输入验证和输出编码。此外,实施内容安全策略 (CSP) 可以帮助防止 XSS 攻击。请务必仔细审查所有用户输入,并对输出进行适当的编码,以防止恶意脚本注入。升级后,请验证修复是否成功,例如通过尝试在受影响的表单字段中注入简单的 JavaScript 代码。
将 Adobe Commerce 更新到最新可用版本。请参阅 Adobe 安全公告以获取更多详细信息和特定的更新说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-21292 是 Adobe Commerce 中发现的存储型跨站脚本 (XSS) 漏洞,允许攻击者将恶意脚本注入到表单字段中。
如果您正在使用 Adobe Commerce 2.4.9-alpha3 之前的版本,包括 2.4.4-p16 及更早版本,则您可能受到此漏洞的影响。
请立即升级到 Adobe Commerce 2.4.9 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用程序,但由于 XSS 漏洞的普遍性,预计未来可能会出现。
请访问 Adobe 安全公告网站以获取更多信息:https://www.adobe.com/security/advisories/.