CRITICALCVE-2024-54036CVSS 9.3

Adobe Connect | クロスサイトスクリプティング (蓄積型 XSS) (CWE-79)

プラットフォーム

adobe

コンポーネント

adobe-connect

修正版

11.4.8

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-54036は、Adobe Connectにおいて検出された保存型クロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能となり、機密情報の漏洩や改ざんなどの深刻な影響を及ぼす可能性があります。影響を受けるバージョンは、Adobe Connect 0から11.4.7までのバージョンです。バージョン12.6にアップデートすることで、この脆弱性は修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がAdobe Connectのフォームフィールドに悪意のあるJavaScriptコードを注入することを可能にします。被害者がそのページを閲覧すると、注入されたスクリプトが実行され、攻撃者はセッションを乗っ取ったり、ユーザーのブラウザを悪用して他の悪意のあるアクションを実行したりする可能性があります。攻撃者は、機密情報を盗み出したり、ユーザーを偽のウェブサイトにリダイレクトしたり、システムの設定を変更したりする可能性があります。この脆弱性の影響範囲は広く、Adobe Connectを利用するすべてのユーザーが潜在的なリスクにさらされる可能性があります。

悪用の状況

この脆弱性は、Adobeによって公表されており、攻撃者による悪用が懸念されます。現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用が容易であるため、早急な対応が必要です。CISAのKEVリストへの登録状況は不明です。2024年12月10日に公開されました。

リスク対象者翻訳中…

Organizations and individuals using Adobe Connect for online meetings, webinars, and training sessions are at risk. This includes educational institutions, businesses, and government agencies. Those relying on legacy Adobe Connect deployments or those with inadequate input validation practices are particularly vulnerable.

検出手順翻訳中…

• adobe / server: Examine Adobe Connect server logs for unusual JavaScript execution patterns or suspicious form submissions.

 grep -i 'script' /var/log/adobe/connect/server.log

• generic web: Use curl to test form fields for XSS vulnerabilities.

curl -X POST -d "<script>alert('XSS')</script>" https://<adobeconnect_server>/<vulnerable_form>

• generic web: Check response headers for Content-Security-Policy (CSP) directives. A strong CSP can mitigate XSS attacks.

攻撃タイムライン

2024-12-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.31% (80% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントadobe-connect

ベンダーAdobe

影響範囲修正版

0 – 11.4.711.4.8

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-11-27
公開日2024-12-10
更新日2025-01-14
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Adobe Connectをバージョン12.6以降にアップデートすることです。アップデートがすぐに利用できない場合は、入力フィールドの検証を強化し、出力時にエスケープ処理を徹底することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。さらに、Adobe Connectのログを監視し、不審なアクティビティを早期に発見することも重要です。アップデート後、バージョン12.6に正常にアップデートされたことを確認してください。

修正方法

Adobe Connectをバージョン12.6以降にアップデートしてください。 このアップデートは、悪意のあるスクリプトの注入を可能にする蓄積型XSS脆弱性を修正します。 詳細と具体的なアップデート手順については、Adobeのセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-54036 — XSS in Adobe Connectとは何ですか？

CVE-2024-54036は、Adobe Connect 0–11.4.7で検出された保存型クロスサイトスクリプティング（XSS）の脆弱性であり、攻撃者が悪意のあるスクリプトを注入できる可能性があります。

CVE-2024-54036 in Adobe Connectの影響はありますか？

はい、影響があります。攻撃者はセッションを乗っ取り、機密情報を盗み出す可能性があります。バージョン12.6にアップデートすることで修正されます。

CVE-2024-54036 in Adobe Connectを修正するにはどうすればよいですか？

Adobe Connectをバージョン12.6以降にアップデートしてください。アップデートがすぐに利用できない場合は、入力検証と出力エスケープを強化してください。

CVE-2024-54036は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用が容易であるため、早急な対応が必要です。

CVE-2024-54036に関するAdobeの公式アドバイザリはどこで入手できますか？

Adobeのセキュリティアドバイザリページで確認できます。詳細はAdobeの公式ウェブサイトを参照してください。