CRITICAL🇬🇧 English

CVE-2026-27243

Reflected XSS w Adobe Connect umożliwiający przejęcie sesji

CVSS 9.3v3.1pub. 2026-04-14upd. 2026-04-28

Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych jest podatny na reflected Cross-Site Scripting (XSS), który pozwala atakującemu wstrzyknąć złośliwy skrypt do przeglądarki ofiary. Podatność uzyskała ocenę CVSS 9.3 (CRITICAL) ze względu na zmianę zakresu oddziaływania (Scope Changed) i potencjalne przejęcie kontroli nad kontem lub sesją użytkownika.

Pokaż oryginał (EN)

Adobe Connect versions 2025.3, 12.10 and earlier are affected by a reflected Cross-Site Scripting (XSS) vulnerability. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially gaining elevated access or control over the victim's account or session. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.

🤖 Analiza AI
Jak działa

Atakujący przygotowuje specjalnie spreparowany URL lub złośliwą stronę internetową zawierającą payload XSS. Gdy ofiara odwiedzi taki link lub wejdzie w interakcję ze skompromitowaną stroną, podatna aplikacja Adobe Connect odzwierciedla niezweryfikowane dane w odpowiedzi HTTP, powodując wykonanie złośliwego skryptu w kontekście przeglądarki ofiary. Ze względu na zmianę zakresu (Changed Scope) skutki mogą wykraczać poza samą aplikację, obejmując zasoby dostępne w sesji użytkownika.

Skutki

Atakujący może uzyskać dostęp do sesji lub konta ofiary, a także wykonywać działania w jej imieniu — potencjalnie z podwyższonymi uprawnieniami. Możliwa jest kradzież ciasteczek sesyjnych, danych uwierzytelniających lub innych poufnych informacji przetwarzanych w przeglądarce.

Mitygacja

Należy zaktualizować Adobe Connect do wersji nowszej niż 2025.3 / 12.10 zgodnie z zaleceniami producenta opisanymi w biuletynie bezpieczeństwa APSB26-37 dostępnym pod adresem https://helpx.adobe.com/security/products/connect/apsb26-37.html. Do czasu wdrożenia patcha zaleca się edukowanie użytkowników, aby nie klikali w nieznane lub podejrzane linki prowadzące do instancji Adobe Connect.

Kogo dotyczy

Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych, działający na Microsoft Windows oraz Apple macOS (w tym Adobe Connect Desktop Application).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Adobe Connect

    APP
    Adobe
    < 12.11
  • Adobe Connect Desktop Application

    APP
    Adobe
    ≤ 2025.3< 2025.9.15
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio