CRITICAL🇬🇧 English

CVE-2026-34615

Adobe Connect – RCE przez Deserialization of Untrusted Data

CVSS 9.3v3.1pub. 2026-04-14upd. 2026-04-28

Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych zawiera podatność klasy Deserialization of Untrusted Data (CWE-502), która może doprowadzić do wykonania dowolnego kodu w kontekście zalogowanego użytkownika. Podatność jest oceniana jako krytyczna (CVSS 9.3) ze względu na możliwość przejęcia kontroli nad kontem lub sesją ofiary.

Pokaż oryginał (EN)

Adobe Connect versions 2025.3, 12.10 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially gaining elevated access or control over the victim's account or session. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.

🤖 Analiza AI
Jak działa

Atakujący może dostarczyć spreparowane, niezaufane dane do mechanizmu deserializacji w Adobe Connect, co skutkuje wstrzyknięciem złośliwych skryptów do strony internetowej. Exploitacja wymaga interakcji użytkownika – ofiara musi odwiedzić złośliwie spreparowany adres URL lub wejść w interakcję z zainfekowaną stroną. Zmiana zakresu (Scope Changed) oznacza, że skutki ataku mogą wykraczać poza bezpośredni kontekst podatnej aplikacji.

Skutki

Atakujący może wykonać arbitralny kod w kontekście bieżącego użytkownika, a także uzyskać podwyższony dostęp lub przejąć kontrolę nad kontem bądź sesją ofiary.

Mitygacja

Należy zaktualizować Adobe Connect do wersji nowszej niż 2025.3 / 12.10 zgodnie z zaleceniami producenta opublikowanymi w biuletynie bezpieczeństwa APSB26-37 dostępnym pod adresem https://helpx.adobe.com/security/products/connect/apsb26-37.html

Kogo dotyczy

Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych, działający na Microsoft Windows oraz Apple macOS (w tym Adobe Connect Desktop Application).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Adobe Connect

    APP
    Adobe
    < 12.11
  • Adobe Connect Desktop Application

    APP
    Adobe
    ≤ 2025.3< 2025.9.15
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio