Platform
adobe
Component
adobe-connect
Opgelost in
12.10.1
CVE-2026-27245 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in Adobe Connect. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts in te voegen op een webpagina, wat kan leiden tot verhoogde toegang of controle over het account of de sessie van het slachtoffer. De kwetsbaarheid treft Adobe Connect versies van 0.0.0 tot en met 12.10. Een fix is beschikbaar in versie 2025.3.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd in de browser van een gebruiker, waardoor gevoelige informatie zoals cookies en sessiegegevens kunnen worden gestolen. Dit kan leiden tot accountovername, identiteitsdiefstal en verdere aanvallen op het netwerk. De aanvaller kan ook de pagina manipuleren om de gebruiker naar een kwaadaardige website te leiden of schadelijke software te downloaden. Omdat de exploitatie gebruikersinteractie vereist (bezoek aan een kwaadaardige URL), is de impact afhankelijk van de mate waarin gebruikers klikken op verdachte links.
Op dit moment zijn er geen openbare exploitatiecampagnes bekend voor CVE-2026-27245. Er zijn ook geen publieke Proof-of-Concept (POC) exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV), wat duidt op een verhoogd risico. De publicatiedatum van de CVE is 2026-04-14.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or online meetings are particularly at risk. Users with administrative privileges within Adobe Connect are at higher risk, as a successful XSS attack could grant an attacker full control over the system. Shared hosting environments where multiple Adobe Connect instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• generic web: Use curl to test potentially vulnerable endpoints with XSS payloads (e.g., <script>alert(1)</script>). Examine the response for signs of script execution.
curl 'https://adobeconnect.example.com/some/vulnerable/page?param=<script>alert(1)</script>' -s• generic web: Check access and error logs for suspicious requests containing XSS payloads or unusual characters. • adobe: Examine Adobe Connect's configuration files for any custom scripts or plugins that might be vulnerable to XSS. • adobe: Review Adobe Connect's audit logs for any unusual activity or unauthorized access attempts.
disclosure
Exploit Status
EPSS
0.10% (29% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27245 is het upgraden van Adobe Connect naar versie 2025.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van Web Application Firewall (WAF) regels om de kwetsbare URL's te blokkeren of te filteren. Controleer de Adobe Connect configuratie op onnodige functionaliteit die de aanvalsoppervlakte kan vergroten. Monitor de toegangspogingen tot Adobe Connect en zoek naar verdachte patronen die kunnen wijzen op een exploitatiepoging. Na de upgrade, verifieer de fix door te proberen een XSS payload in te voegen via een URL en controleer of deze wordt geneutraliseerd.
Werk Adobe Connect bij naar versie 2025.3 of hoger om de Cross-Site Scripting (XSS) vulnerability te mitigeren. Deze update pakt het probleem aan bij het valideren van gebruikersinvoer, waardoor de injectie van kwaadaardige scripts wordt voorkomen. Raadpleeg de beveiligingspagina van Adobe voor meer details en installatie-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27245 is a critical Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 2025.3 or earlier, including 12.10, you are potentially affected by this vulnerability.
Upgrade Adobe Connect to version 2025.3 or later to resolve this vulnerability. Consider WAF rules as an interim measure.
While no active exploitation campaigns have been publicly reported, the vulnerability's nature suggests that exploitation is likely.
Refer to the official Adobe Security Bulletin for CVE-2026-27245 on the Adobe Security Advisories website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.