Plateforme
adobe
Composant
adobe-connect
Corrigé dans
12.10.1
Une vulnérabilité de Cross-Site Scripting (XSS) réfléchie a été découverte dans Adobe Connect. Cette faille permet à un attaquant d'injecter des scripts malveillants dans une page web, potentiellement compromettant les comptes des utilisateurs ou leurs sessions. Les versions concernées sont les versions 2025.3 et antérieures, incluant la version 12.10 (0.0.0–12.10). Une correction est disponible dans la version 2025.3.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de la victime. Cela peut conduire à diverses conséquences néfastes, telles que le vol de cookies de session, le détournement de l'utilisateur vers des sites web malveillants, ou la modification du contenu de la page web affichée. L'attaquant pourrait ainsi compromettre l'intégrité des données et la confidentialité des utilisateurs. Le risque est amplifié si Adobe Connect est utilisé dans un environnement d'entreprise où des informations sensibles sont partagées.
Cette vulnérabilité a été rendue publique le 14 avril 2026. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la nature de la vulnérabilité XSS la rend potentiellement exploitable par des acteurs malveillants. La nécessité d'une interaction utilisateur pour l'exploitation (clic sur un lien malveillant) peut limiter la portée de l'attaque, mais ne l'élimine pas. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or online meetings are particularly at risk. Users with administrative privileges within Adobe Connect are at higher risk, as a successful XSS attack could grant an attacker full control over the system. Shared hosting environments where multiple Adobe Connect instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• generic web: Use curl to test potentially vulnerable endpoints with XSS payloads (e.g., <script>alert(1)</script>). Examine the response for signs of script execution.
curl 'https://adobeconnect.example.com/some/vulnerable/page?param=<script>alert(1)</script>' -s• generic web: Check access and error logs for suspicious requests containing XSS payloads or unusual characters. • adobe: Examine Adobe Connect's configuration files for any custom scripts or plugins that might be vulnerable to XSS. • adobe: Review Adobe Connect's audit logs for any unusual activity or unauthorized access attempts.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 29%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Connect vers la version 2025.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les fonctionnalités qui pourraient être exploitées par cette faille. En attendant la mise à jour, une configuration stricte des politiques de sécurité du contenu (CSP) peut aider à atténuer le risque en limitant les sources de scripts autorisées. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour Adobe Connect à la version 2025.3 ou ultérieure pour atténuer la vulnérabilité de Cross-Site Scripting (XSS). Cette mise à jour corrige le défaut de validation de l'entrée utilisateur, empêchant l'injection de scripts malveillants. Consultez la page de sécurité d'Adobe pour plus de détails et des instructions d'installation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27245 is a critical Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 2025.3 or earlier, including 12.10, you are potentially affected by this vulnerability.
Upgrade Adobe Connect to version 2025.3 or later to resolve this vulnerability. Consider WAF rules as an interim measure.
While no active exploitation campaigns have been publicly reported, the vulnerability's nature suggests that exploitation is likely.
Refer to the official Adobe Security Bulletin for CVE-2026-27245 on the Adobe Security Advisories website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.