Plateforme
adobe
Composant
adobe-connect
Corrigé dans
12.10.1
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans Adobe Connect, affectant les versions de 0.0.0 à 12.10. Cette faille permet à un attaquant non privilégié d'injecter des scripts malveillants dans une page web, potentiellement compromettant le compte ou la session de la victime. La version 2025.3 corrige cette vulnérabilité et est fortement recommandée.
L'exploitation réussie de cette vulnérabilité XSS peut avoir des conséquences significatives. Un attaquant peut injecter du code JavaScript malveillant dans une page web visitée par un utilisateur d'Adobe Connect. Ce code peut être utilisé pour voler des cookies de session, rediriger l'utilisateur vers un site web malveillant, ou même exécuter des actions en son nom, ce qui pourrait conduire à une prise de contrôle du compte. L'impact est amplifié si l'attaquant peut compromettre des comptes d'administrateurs, permettant un accès non autorisé à l'ensemble de la plateforme Adobe Connect et à ses données sensibles. Bien que l'exploitation nécessite une interaction de l'utilisateur (visite d'une URL malveillante), la propagation peut être facilitée par des techniques d'ingénierie sociale.
Cette vulnérabilité a été rendue publique le 14 avril 2026. Il n'y a pas d'indications d'une inscription sur le KEV (Know Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, étant donné la nécessité d'une interaction de l'utilisateur. Il n'y a pas de Proof of Concept (PoC) public connu à ce jour, mais la nature de la vulnérabilité XSS rend son exploitation relativement accessible aux attaquants expérimentés.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or internal communications are at significant risk. Specifically, environments with shared user accounts or those lacking robust input validation practices are more vulnerable. Users who frequently interact with external content within Adobe Connect are also at increased risk.
• adobe / web:
grep -r 'script src=' /var/www/adobeconnect/includes/common/*.js• generic web:
curl -I https://your-adobeconnect-server/malicious.html | grep -i content-security-policy• generic web:
curl -I https://your-adobeconnect-server/ | grep -i x-frame-optionsdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Adobe Connect vers la version 2025.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les contrôles d'entrée et de sortie pour prévenir l'injection de scripts. Des règles de pare-feu applicatif web (WAF) peuvent être configurées pour bloquer les requêtes contenant des charges utiles XSS suspectes. Il est également crucial de sensibiliser les utilisateurs aux risques liés aux liens et aux pages web inconnus, afin de minimiser le risque d'interaction avec des contenus malveillants. Après la mise à jour, vérifiez l'intégrité des fichiers de configuration et effectuez des tests de pénétration pour confirmer l'absence de la vulnérabilité.
Actualice Adobe Connect a la versión 2025.3 o posterior para mitigar la vulnerabilidad de XSS. Consulte la página de Adobe Security Bulletin APSB26-37 para obtener más detalles e instrucciones de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34617 is a Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 0.0.0 through 12.10, you are potentially affected by this vulnerability.
Upgrade Adobe Connect to version 2025.3 or later to remediate the vulnerability. Implement input validation and WAF rules as interim measures.
There is currently no evidence of active exploitation in the wild, but the HIGH severity score warrants immediate attention.
Refer to the official Adobe Security Bulletin for CVE-2026-34617 on the Adobe Security Advisories website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.