Plataforma
adobe
Componente
adobe-connect
Corregido en
12.9.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) basada en DOM en Adobe Connect, afectando a las versiones desde 0 hasta la 12.9. Esta falla permite a un atacante inyectar y ejecutar scripts maliciosos en el navegador de un usuario vulnerable. La explotación exitosa de esta vulnerabilidad puede resultar en la toma de control de la sesión del usuario, comprometiendo la confidencialidad e integridad de los datos. Adobe ha publicado una actualización para mitigar este riesgo.
La vulnerabilidad XSS en Adobe Connect permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede ser utilizado para robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso modificar el contenido de la página web que está viendo. Un atacante podría crear una página web maliciosa que, al ser visitada por un usuario con una versión vulnerable de Adobe Connect, inyecte el script malicioso. La toma de control de sesión resultante permite al atacante acceder a información confidencial, realizar acciones en nombre del usuario, y potencialmente comprometer otros sistemas a los que el usuario tenga acceso, ampliando el radio de explosión. Esta vulnerabilidad es particularmente preocupante debido a su alta puntuación CVSS y la posibilidad de explotación a través de la interacción del usuario.
La vulnerabilidad CVE-2025-49553 ha sido publicada el 14 de octubre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or internal communications are particularly at risk. Users who frequently share links or collaborate within Adobe Connect are also more vulnerable, as they may inadvertently click on malicious links. Environments with weak input validation or insufficient security controls are at heightened risk.
• adobe: Monitor Adobe Connect server logs for unusual JavaScript execution patterns or requests to suspicious URLs. • generic web: Use a web application firewall (WAF) to detect and block requests containing potentially malicious JavaScript code. • generic web: Regularly scan Adobe Connect installations for known XSS vulnerabilities using automated vulnerability scanners.
disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-49553 es actualizar Adobe Connect a la última versión disponible, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Considere la posibilidad de utilizar un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección de scripts. Además, revise y endurezca la configuración de seguridad de Adobe Connect, restringiendo el acceso a funciones sensibles y validando cuidadosamente todas las entradas del usuario. Monitoree los registros de Adobe Connect en busca de patrones sospechosos que puedan indicar un intento de explotación. Después de la actualización, confirme la mitigación revisando los registros de seguridad y realizando pruebas de penetración para verificar que la vulnerabilidad ha sido corregida.
Actualice Adobe Connect a una versión posterior a la 12.9 para corregir la vulnerabilidad XSS (Cross-Site Scripting). Consulte el boletín de seguridad de Adobe para obtener más detalles e instrucciones específicas sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-49553 is a critical DOM-based XSS vulnerability affecting Adobe Connect versions 0–12.9, allowing attackers to execute scripts in a victim's browser.
If you are using Adobe Connect versions 0 through 12.9, you are potentially affected by this vulnerability. Check your version and upgrade immediately.
Upgrade Adobe Connect to the latest patched version as recommended by Adobe. Implement Content Security Policy (CSP) as a temporary mitigation.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the official Adobe Security Bulletin for CVE-2025-49553 on the Adobe Security Advisories website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.