Plataforma
adobe
Componente
adobe-connect
Corregido en
12.10.1
La vulnerabilidad CVE-2026-34617 es una falla de Cross-Site Scripting (XSS) que afecta a Adobe Connect en versiones desde 0.0.0 hasta 12.10. Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en una página web, lo que podría resultar en la elevación de privilegios. La vulnerabilidad fue publicada el 14 de abril de 2026 y se ha solucionado en la versión 2025.3.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript malicioso en las páginas web de Adobe Connect. Esto puede llevar a diversas consecuencias, incluyendo el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, la toma de control de la cuenta del usuario afectado. El riesgo se agrava si el atacante puede comprometer una cuenta con privilegios administrativos, lo que le permitiría controlar completamente la instancia de Adobe Connect. Aunque requiere interacción del usuario (visitar una URL maliciosa), la naturaleza persistente de las sesiones de Adobe Connect podría facilitar la explotación a gran escala.
La vulnerabilidad CVE-2026-34617 fue publicada el 14 de abril de 2026. Actualmente no se dispone de información sobre su inclusión en el KEV de CISA ni sobre la existencia de exploits públicos. Sin embargo, dada la naturaleza común de las vulnerabilidades XSS, es probable que se desarrollen exploits públicos en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or internal communications are at significant risk. Specifically, environments with shared user accounts or those lacking robust input validation practices are more vulnerable. Users who frequently interact with external content within Adobe Connect are also at increased risk.
• adobe / web:
grep -r 'script src=' /var/www/adobeconnect/includes/common/*.js• generic web:
curl -I https://your-adobeconnect-server/malicious.html | grep -i content-security-policy• generic web:
curl -I https://your-adobeconnect-server/ | grep -i x-frame-optionsdisclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34617 es actualizar Adobe Connect a la versión 2025.3 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de ataque XSS conocidos. Monitorear los registros de acceso y error en busca de actividad sospechosa también puede ayudar a detectar y responder a intentos de explotación. Después de la actualización, confirme la mitigación revisando los registros de seguridad y realizando pruebas de penetración.
Actualice Adobe Connect a la versión 2025.3 o posterior para mitigar la vulnerabilidad de XSS. Consulte la página de Adobe Security Bulletin APSB26-37 para obtener más detalles e instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34617 is a Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 0.0.0 through 12.10, you are potentially affected by this vulnerability.
Upgrade Adobe Connect to version 2025.3 or later to remediate the vulnerability. Implement input validation and WAF rules as interim measures.
There is currently no evidence of active exploitation in the wild, but the HIGH severity score warrants immediate attention.
Refer to the official Adobe Security Bulletin for CVE-2026-34617 on the Adobe Security Advisories website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.