HIGHCVE-2026-21311CVSS 8

Adobe Commerce | 跨站脚本 (存储型 XSS) (CWE-79)

平台

adobe

组件

adobe-commerce

修复版本

2.4.5-p15

2.4.6-p13

2.4.7-p8

2.4.8-p3

2.4.9-alpha3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-21311 是一个存储型跨站脚本 (XSS) 漏洞，影响Adobe Commerce。攻击者可以利用此漏洞将恶意脚本注入到受影响的表单字段中，当用户浏览包含这些字段的页面时，恶意 JavaScript 可能会在用户的浏览器中执行。此漏洞影响Adobe Commerce 0 到 2.4.4-p16 版本，成功利用可能导致会话劫持，目前修复方案尚未发布。

影响与攻击场景

Adobe Commerce 的 CVE-2026-21311 是一个存储型跨站脚本 (XSS) 漏洞，影响 2.4.9-alpha3 及更早版本。高权限攻击者可以将恶意脚本注入到易受攻击的表单字段中。当用户浏览包含易受攻击字段的页面时，恶意 JavaScript 可能会在其浏览器中执行，从而导致会话劫持、机密性和完整性受损。此漏洞尤其令人担忧，因为它允许攻击者在用户上下文中执行任意代码，从而可能导致数据篡改、凭据盗窃和其他恶意行为。由于没有直接的修复 (fix: none)，因此需要立即采取行动并实施缓解措施。

利用背景

该漏洞是通过将恶意 JavaScript 代码注入到未得到适当保护的表单字段中来利用的。攻击者可以使用各种方法来实现此目的，例如操纵 URL 参数、上传恶意文件或将代码注入到文本字段中。一旦恶意代码注入，当用户访问受影响的页面时，它将在用户的浏览器中执行。此漏洞的严重性在于，高权限攻击者可能利用它来获得对敏感数据的未经授权的访问或控制用户的帐户。

哪些人处于风险中翻译中…

Organizations using Adobe Commerce for their e-commerce operations are at risk, particularly those running versions 0–2.4.4-p16. Shared hosting environments that utilize Adobe Commerce are also at increased risk, as vulnerabilities in one tenant can potentially impact others. Businesses that have not implemented robust input validation and sanitization practices are also more vulnerable.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "<script" /var/www/html/app/code/Magento/...

• generic web:

curl -I https://example.com/vulnerable-form | grep Content-Type

• generic web: Check access and error logs for unusual JavaScript injection attempts. • generic web: Inspect form field input validation and sanitization routines for weaknesses.

攻击时间线

2026-03-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.11% (29% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件adobe-commerce

供应商Adobe

影响范围修复版本

0 – 2.4.4-p162.4.5-p15

0 – 2.4.5-p152.4.6-p13

0 – 2.4.6-p132.4.7-p8

0 – 2.4.7-p82.4.8-p3

0 – 2.4.8-p32.4.9-alpha3

弱点分类 (CWE)

CWE-79

时间线

已保留2025-12-12
发布日期2026-03-11
修改日期2026-03-12
EPSS 更新日期2026-03-23

未修复 — 披露已74天

缓解措施和替代方案

由于没有官方修复 (fix: none)，因此强烈建议立即采取缓解措施。这些措施包括在服务器端严格验证和清理输入、实施内容安全策略 (CSP) 以限制 JavaScript 来源，以及持续监控平台是否存在可疑活动。此外，建议在发布修复程序后升级到最新版本的 Adobe Commerce。应用“纵深防御”方法对于最大限度地降低利用风险至关重要。考虑实施 Web 应用程序防火墙 (WAF) 以过滤恶意流量。

修复方法翻译中…

Actualice Adobe Commerce a la última versión disponible. Esto solucionará la vulnerabilidad XSS almacenada. Consulte el aviso de seguridad de Adobe para obtener más detalles e instrucciones específicas de actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-21311 是什么 — Adobe Commerce 中的 Cross-Site Scripting (XSS)？

2.4.9-alpha3、2.4.8-p3、2.4.7-p8、2.4.6-p13、2.4.5-p15、2.4.4-p16 以及所有更早版本都受到影响。

Adobe Commerce 中的 CVE-2026-21311 是否会影响我？

这意味着 Adobe 在发布公告时尚未发布此漏洞的修复程序 (补丁)。

如何修复 Adobe Commerce 中的 CVE-2026-21311？

这是一种 Web 安全漏洞，攻击者可以注入恶意代码（通常是 JavaScript）到网站中，然后该代码将在访问该页面的其他用户的浏览器中执行。

CVE-2026-21311 是否正在被积极利用？

实施输入验证、清理、CSP、监控可疑活动，并在发布补丁后升级到最新版本。

在哪里可以找到 Adobe Commerce 关于 CVE-2026-21311 的官方安全通告？

请参阅 Adobe Commerce 安全公告以获取更多详细信息：[Adobe Commerce 安全公告链接（如果可用）]。