Die Schwachstelle steckt in Adobe Commerce und ist eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS). Ein Angreifer mit hohen Berechtigungen kann über anfällige Formularfelder schädlichen Skriptcode einschleusen. Dieser Code wird dauerhaft gespeichert und später im Browser eines Opfers ausgeführt, sobald dieses die Seite mit dem betroffenen Feld aufruft. Der Angriff setzt also eine Benutzerinteraktion voraus: Das Opfer muss die präparierte Seite tatsächlich öffnen. Wird das eingeschleuste JavaScript ausgeführt, kann der Angreifer die Sitzung des Opfers übernehmen und so unter dessen Identität agieren. Dadurch sind sowohl die Vertraulichkeit als auch die Integrität der betroffenen Daten erheblich beeinträchtigt. Betroffen sind Installationen von Adobe Commerce, bei denen ein Angreifer bereits über ein hoch privilegiertes Konto verfügt, um die manipulierten Inhalte in die Formularfelder einzubringen.