CRITICAL🇬🇧 English

CVE-2026-27303

Adobe Connect — RCE poprzez Deserialization of Untrusted Data

CVSS 9.6v3.1pub. 2026-04-14upd. 2026-04-28

Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych zawiera krytyczną podatność typu deserialization of untrusted data, umożliwiającą zdalne wykonanie kodu. Zagrożenie jest szczególnie poważne ze względu na zmieniony zakres wpływu (Scope Changed) i brak wymogu uwierzytelnienia po stronie atakującego.

Pokaż oryginał (EN)

Adobe Connect versions 2025.3, 12.10 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.

🤖 Analiza AI
Jak działa

Podatność polega na niebezpiecznej deserializacji niezaufanych danych (CWE-502) — atakujący może spreparować złośliwy obiekt serializowany i dostarczyć go ofierze za pośrednictwem specjalnie skonstruowanego adresu URL lub skompromitowanej strony internetowej. Gdy ofiara odwiedzi taki link lub wejdzie w interakcję z podrzuconą stroną, aplikacja Adobe Connect deserializuje szkodliwy payload. W wyniku tego dochodzi do wykonania dowolnego kodu w kontekście aktualnie zalogowanego użytkownika.

Skutki

Atakujący może wykonać dowolny kod (RCE) w kontekście ofiary, co potencjalnie prowadzi do przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci. Zmieniony zakres (Scope Changed) oznacza, że skutki mogą wykraczać poza samą aplikację Adobe Connect.

Mitygacja

Należy niezwłocznie zaktualizować Adobe Connect do wersji nowszej niż 2025.3/12.10, stosując patche dostępne u producenta zgodnie z oficjalnym biuletynem bezpieczeństwa Adobe (APSB26-37): https://helpx.adobe.com/security/products/connect/apsb26-37.html. Do czasu aktualizacji zaleca się zachowanie szczególnej ostrożności przy klikaniu w linki prowadzące do instancji Adobe Connect oraz unikanie odwiedzania niezaufanych stron internetowych.

Kogo dotyczy

Adobe Connect w wersji 2025.3, 12.10 oraz wcześniejszych, działający na Microsoft Windows i Apple macOS (w tym Adobe Connect Desktop Application).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Adobe Connect

    APP
    Adobe
    < 12.11
  • Adobe Connect Desktop Application

    APP
    Adobe
    ≤ 2025.3< 2025.9.15
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio