CVE-2026-34686Adobe Commerce多个旧版本存在严重的存储型跨站脚本(XSS)漏洞。该漏洞允许低权限攻击者通过在易受攻击的表单字段中注入恶意脚本,将攻击载荷持久化存储在服务器端。当管理员或其他用户访问包含恶意数据的页面时,脚本将在其浏览器中自动执行。由于漏洞涉及权限范围变更,攻击者可利用此机会提升权限,窃取敏感信息或劫持会话,对系统安全构成严重威胁。
该漏洞源于Adobe Commerce对特定表单输入的过滤机制失效。攻击流程始于低权限攻击者登录系统,识别出未正确过滤的输入点(如用户配置、商品评论等)。攻击者植入包含JavaScript的Payload,由于缺乏适当的输出编码,后端直接将其存入数据库。当高权限用户(如管理员)浏览被污染的页面时,服务器响应包含未转义的恶意代码。浏览器解析HTML时触发脚本执行,利用同源策略,攻击者可读取DOM中的敏感数据、发送认证信息到外部服务器,或利用管理员权限执行未授权操作。CVSS评分8.7反映了其高机密性和完整性影响,特别是Scope Changed特性使得攻击能突破初始权限限制。