Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych zawiera krytyczną podatność typu deserialization of untrusted data, umożliwiającą zdalne wykonanie kodu. Zagrożenie jest szczególnie poważne ze względu na zmieniony zakres wpływu (Scope Changed) i brak wymogu uwierzytelnienia po stronie atakującego.
▸ Pokaż oryginał (EN)
Adobe Connect versions 2025.3, 12.10 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.
Podatność polega na niebezpiecznej deserializacji niezaufanych danych (CWE-502) — atakujący może spreparować złośliwy obiekt serializowany i dostarczyć go ofierze za pośrednictwem specjalnie skonstruowanego adresu URL lub skompromitowanej strony internetowej. Gdy ofiara odwiedzi taki link lub wejdzie w interakcję z podrzuconą stroną, aplikacja Adobe Connect deserializuje szkodliwy payload. W wyniku tego dochodzi do wykonania dowolnego kodu w kontekście aktualnie zalogowanego użytkownika.
Atakujący może wykonać dowolny kod (RCE) w kontekście ofiary, co potencjalnie prowadzi do przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci. Zmieniony zakres (Scope Changed) oznacza, że skutki mogą wykraczać poza samą aplikację Adobe Connect.
Należy niezwłocznie zaktualizować Adobe Connect do wersji nowszej niż 2025.3/12.10, stosując patche dostępne u producenta zgodnie z oficjalnym biuletynem bezpieczeństwa Adobe (APSB26-37): https://helpx.adobe.com/security/products/connect/apsb26-37.html. Do czasu aktualizacji zaleca się zachowanie szczególnej ostrożności przy klikaniu w linki prowadzące do instancji Adobe Connect oraz unikanie odwiedzania niezaufanych stron internetowych.
Adobe Connect w wersji 2025.3, 12.10 oraz wcześniejszych, działający na Microsoft Windows i Apple macOS (w tym Adobe Connect Desktop Application).
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HAdobe Connect
APPAdobe< 12.11Adobe Connect Desktop Application
APPAdobe≤ 2025.3< 2025.9.15Apple macOS
OSApplewszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio