CVE-2026-34655Adobe Commerce特定版本及更早版本存在存储型跨站脚本(XSS)漏洞。由于对表单字段的输入验证不足,具有高权限的攻击者可以在易受攻击的字段中注入恶意脚本。当其他用户(受害者)浏览包含该恶意内容的页面时,恶意JavaScript代码将在其浏览器中执行,从而导致潜在的会话劫持或数据窃取。该漏洞利用需要高权限和一定的用户交互。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。其根本原因是Adobe Commerce后台管理系统的特定表单字段缺乏足够的输出编码或输入验证机制。具有高权限(如管理员)的攻击者可以利用此缺陷,在系统配置、产品描述或用户资料等表单字段中植入恶意JavaScript代码。由于漏洞类型为存储型,恶意Payload会被持久化存储在数据库中。当其他具有较低权限的用户或管理员访问包含该恶意数据的页面时,Web应用会将未经过滤的恶意脚本直接渲染到受害者的浏览器中。一旦脚本执行,攻击者即可窃取Session ID、执行未授权操作或进行钓鱼攻击。CVSS向量中的S:C表明该漏洞的影响范围发生了改变,可能从当前上下文扩展到其他上下文。