Plataforma
adobe
Componente
adobe-connect
Corregido en
12.8.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en Adobe Connect versiones 0 hasta 12.8. Esta falla permite a un atacante inyectar scripts maliciosos en campos de formulario vulnerables, lo que podría resultar en la ejecución de JavaScript en el navegador de la víctima. El impacto potencial incluye la toma de sesión, comprometiendo la confidencialidad e integridad de los datos.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede llevar a la toma de control de la sesión del usuario, permitiendo al atacante acceder a información confidencial, realizar acciones en nombre del usuario o incluso modificar el contenido de la aplicación. El riesgo se agrava por la posibilidad de ataques de phishing dirigidos a usuarios de Adobe Connect, donde se les engaña para que visiten una página maliciosa que explota la vulnerabilidad. Un atacante podría, por ejemplo, robar cookies de sesión para acceder a cuentas de usuario sin necesidad de credenciales.
Esta vulnerabilidad ha sido publicada el 13 de mayo de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La alta puntuación CVSS (9.3) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas Adobe Connect en busca de signos de explotación.
Organizations heavily reliant on Adobe Connect for webinars, training, or online meetings are at significant risk. Users with administrative privileges within Adobe Connect are particularly vulnerable, as a compromised account could grant an attacker control over the entire system. Shared hosting environments running Adobe Connect also increase the risk, as vulnerabilities in one user's installation could potentially affect others.
• adobe / server:
grep -r 'script src=' /var/www/html/adobeconnect/• generic web:
curl -I https://your-adobeconnect-server/path/to/vulnerable/page?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.78% (74% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Adobe Connect a una versión corregida que solucione esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Es crucial revisar y endurecer las políticas de seguridad del contenido (CSP) para limitar las fuentes de scripts permitidas, reduciendo así la superficie de ataque.
Actualice Adobe Connect a una versión posterior a la 12.8. Esto solucionará la vulnerabilidad XSS reflejada. Consulte el aviso de seguridad de Adobe para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-43567 is a critical Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0–12.8, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 0 through 12.8, you are potentially affected by this vulnerability. Check Adobe's security advisories for confirmation and updates.
Upgrade to a patched version of Adobe Connect as soon as it becomes available. Monitor Adobe's security advisories for updates and implement temporary workarounds like input validation and WAF rules.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and implement preventative measures.
Refer to the Adobe Security Bulletin for the latest information and updates regarding CVE-2025-43567: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.