Plateforme
adobe
Composant
adobe-connect
Corrigé dans
12.8.1
Une vulnérabilité de Cross-Site Scripting (XSS) réfléchie a été découverte dans Adobe Connect, affectant les versions de 0 à 12.8. Cette faille permet à un attaquant d'injecter des scripts malveillants dans des champs de formulaires vulnérables. L'exécution de JavaScript malveillant dans le navigateur d'une victime peut entraîner une prise de contrôle de session, compromettant la confidentialité et l'intégrité des données.
L'impact de cette vulnérabilité XSS est significatif. Un attaquant peut exploiter cette faille pour injecter du code JavaScript malveillant dans les pages d'Adobe Connect. Ce code peut être exécuté dans le contexte du navigateur de l'utilisateur, lui permettant de voler des cookies de session, de rediriger l'utilisateur vers des sites malveillants ou de modifier le contenu de la page. La prise de contrôle de session permet à l'attaquant d'accéder aux données sensibles, de modifier les configurations et d'effectuer des actions au nom de l'utilisateur compromis. Le risque est exacerbé par le score CVSS de 9.3 (CRITICAL), indiquant une vulnérabilité facilement exploitable avec un impact élevé.
La vulnérabilité CVE-2025-43567 a été rendue publique le 13 mai 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement compte tenu de la nature relativement simple des vulnérabilités XSS réfléchies.
Organizations heavily reliant on Adobe Connect for webinars, training, or online meetings are at significant risk. Users with administrative privileges within Adobe Connect are particularly vulnerable, as a compromised account could grant an attacker control over the entire system. Shared hosting environments running Adobe Connect also increase the risk, as vulnerabilities in one user's installation could potentially affect others.
• adobe / server:
grep -r 'script src=' /var/www/html/adobeconnect/• generic web:
curl -I https://your-adobeconnect-server/path/to/vulnerable/page?param=<script>alert(1)</script>disclosure
Statut de l'Exploit
EPSS
0.78% (percentile 74%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Connect vers une version corrigée dès que possible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé de désactiver temporairement les formulaires ou les champs de formulaires vulnérables. L'implémentation d'une politique de sécurité de contenu (CSP) peut aider à prévenir l'exécution de scripts non autorisés. Un pare-feu applicatif web (WAF) configuré pour bloquer les requêtes XSS peut également fournir une protection supplémentaire. Vérifiez après la mise à jour que les formulaires fonctionnent correctement et qu'il n'y a pas de régressions.
Mettez à jour Adobe Connect vers une version ultérieure à la 12.8. Cela corrigera la vulnérabilité XSS reflétée. Consultez l'avis de sécurité d'Adobe pour plus de détails et des instructions spécifiques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-43567 is a critical Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0–12.8, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 0 through 12.8, you are potentially affected by this vulnerability. Check Adobe's security advisories for confirmation and updates.
Upgrade to a patched version of Adobe Connect as soon as it becomes available. Monitor Adobe's security advisories for updates and implement temporary workarounds like input validation and WAF rules.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and implement preventative measures.
Refer to the Adobe Security Bulletin for the latest information and updates regarding CVE-2025-43567: [https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.