CVE Vulnerability Database

Adobe Commerceの複数のバージョンに、保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-21361）が報告されました。この脆弱性は、高い権限を持つ攻撃者によって悪用され、悪意のあるスクリプトが注入される可能性があります。これにより、閲覧者のブラウザで不正なJavaScriptが実行され、セッションハイジャックなど、機密性および完全性に高い影響を及ぼす恐れがあります。

WordPressプラグイン「ProfilePress」に、認証済み攻撃者が他ユーザーの有料サブスクリプションを不正にキャンセル・失効させることが可能な「不適切なオブジェクト参照（IDOR）」の脆弱性（CVE-2026-3453）が報告されました。バージョン4.16.11以前が影響を受け、有料サービスへのアクセスを妨害する可能性があります。

Adobe Commerceの複数バージョンにおいて、不適切な認証（Incorrect Authorization）の脆弱性（CVE-2026-21297）が報告されました。この脆弱性を悪用されると、権限の低い攻撃者によってセキュリティ機能が迂回され、特定の機能への限定的な不正アクセスを許す可能性があります。影響を受けるバージョンをご利用の企業は、速やかな情報収集と対策の検討が推奨されます。

Adobe Commerceの複数バージョンに、不適切な認証（Incorrect Authorization）の脆弱性（CVE-2026-21309）が報告されました。この脆弱性が悪用されると、セキュリティ機能が迂回され、攻撃者が認証なしにデータへの不正な閲覧アクセスを獲得する可能性があります。ユーザー操作は不要とされており、速やかな対応が推奨されます。

Adobe Commerceに不適切な入力検証の脆弱性 (CVE-2026-21310) が報告されました。この脆弱性は、セキュリティ機能のバイパスにつながる可能性があり、データの整合性への影響は限定的とされています。ユーザー操作なしで悪用される可能性があるため、対象バージョンをご利用の企業は速やかな対応が推奨されます。

Adobe Commerceに保存型クロスサイトスクリプティング（XSS）の脆弱性（CVE-2026-21291）が報告されました。この脆弱性は、高い権限を持つ攻撃者によって悪用され、悪意のあるスクリプトが注入される可能性があります。影響を受けるバージョンを使用している場合、速やかな確認と対策が推奨されます。ユーザーの操作が必要となる点に注意が必要です。

CVE-2026-21292は、Adobe Commerceに存在する保存型クロスサイトスクリプティング（Stored XSS）の脆弱性です。この脆弱性は、低権限の攻撃者によって悪用され、悪意のあるスクリプトが脆弱なフォームフィールドに注入される可能性があります。被害者が当該ページを閲覧すると、スクリプトが実行され、セッションハイジャックや情報窃取などの被害につながる恐れがあります。影響を受けるバージョンをご利用の企業は、速やかに公式情報を確認し、対策を講じることが推奨されます。

Adobe Commerceの複数バージョンに、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性（CVE-2026-21293）が報告されました。この脆弱性は、高権限の攻撃者によってサーバーサイドのリクエストが操作され、不正なリソースへのアクセスやセキュリティ機能のバイパスにつながる可能性があります。ユーザー操作は不要で、速やかな対策が推奨されます。

Adobe Commerceに不適切な認証の脆弱性（CVE-2026-21359）が報告されました。この脆弱性は、セキュリティ機能のバイパスにつながる可能性があり、攻撃者が特定の条件下でデータの一部に影響を与える可能性があります。ユーザー操作は不要ですが、攻撃の成立には攻撃者側の制御が及ばない条件が必要とされています。対象バージョンを利用中の企業は速やかな情報確認と対策が推奨されます。