Plataforma
adobe
Componente
adobe-connect
Corregido en
12.10.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Adobe Connect. Esta falla permite a un atacante inyectar scripts maliciosos en una página web, lo que podría resultar en el acceso no autorizado a cuentas o sesiones de usuarios. La vulnerabilidad afecta a versiones desde 0.0.0 hasta 12.10, y se ha solucionado en la versión 2025.3.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control completo de la cuenta del usuario afectado. El atacante necesita engañar al usuario para que visite una URL especialmente diseñada o interactúe con una página web comprometida, lo que requiere un cierto nivel de ingeniería social. La severidad CRÍTICA indica un alto riesgo de impacto y explotación.
Esta vulnerabilidad fue publicada el 14 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques. La baja dificultad de explotación y el alto impacto potencial la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas Adobe Connect para detectar posibles intentos de explotación.
Estado del Exploit
EPSS
0.10% (29% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Adobe Connect a la versión 2025.3 o posterior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Monitorear los registros de acceso y error en busca de patrones inusuales de solicitudes puede ayudar a detectar intentos de explotación.
Actualice Adobe Connect a la versión 2025.3 o posterior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). Consulte la página de seguridad de Adobe para obtener más detalles e instrucciones de actualización: https://helpx.adobe.com/security/products/connect/apsb26-37.html
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27243 is a critical reflected Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10. An attacker can inject malicious scripts via crafted URLs, potentially gaining control of user accounts.
If you are using Adobe Connect versions 2025.3 or earlier, including 12.10, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
The recommended fix is to upgrade Adobe Connect to version 2025.3 or later. Implement input validation and WAF rules as interim measures if upgrading is not immediately possible.
No active exploitation campaigns have been publicly reported at this time, but the ease of exploitation warrants caution and prompt patching.
Refer to the official Adobe Security Bulletin for CVE-2026-27243 on the Adobe Security Advisories website: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.