Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych jest podatny na reflected Cross-Site Scripting (XSS), który pozwala atakującemu wstrzyknąć złośliwy skrypt do przeglądarki ofiary. Podatność uzyskała ocenę CVSS 9.3 (CRITICAL) ze względu na zmianę zakresu oddziaływania (Scope Changed) i potencjalne przejęcie kontroli nad kontem lub sesją użytkownika.
▸ Pokaż oryginał (EN)
Adobe Connect versions 2025.3, 12.10 and earlier are affected by a reflected Cross-Site Scripting (XSS) vulnerability. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially gaining elevated access or control over the victim's account or session. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.
Atakujący przygotowuje specjalnie spreparowany URL lub złośliwą stronę internetową zawierającą payload XSS. Gdy ofiara odwiedzi taki link lub wejdzie w interakcję ze skompromitowaną stroną, podatna aplikacja Adobe Connect odzwierciedla niezweryfikowane dane w odpowiedzi HTTP, powodując wykonanie złośliwego skryptu w kontekście przeglądarki ofiary. Ze względu na zmianę zakresu (Changed Scope) skutki mogą wykraczać poza samą aplikację, obejmując zasoby dostępne w sesji użytkownika.
Atakujący może uzyskać dostęp do sesji lub konta ofiary, a także wykonywać działania w jej imieniu — potencjalnie z podwyższonymi uprawnieniami. Możliwa jest kradzież ciasteczek sesyjnych, danych uwierzytelniających lub innych poufnych informacji przetwarzanych w przeglądarce.
Należy zaktualizować Adobe Connect do wersji nowszej niż 2025.3 / 12.10 zgodnie z zaleceniami producenta opisanymi w biuletynie bezpieczeństwa APSB26-37 dostępnym pod adresem https://helpx.adobe.com/security/products/connect/apsb26-37.html. Do czasu wdrożenia patcha zaleca się edukowanie użytkowników, aby nie klikali w nieznane lub podejrzane linki prowadzące do instancji Adobe Connect.
Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych, działający na Microsoft Windows oraz Apple macOS (w tym Adobe Connect Desktop Application).
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NAdobe Connect
APPAdobe< 12.11Adobe Connect Desktop Application
APPAdobe≤ 2025.3< 2025.9.15Apple macOS
OSApplewszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio