Plataforma
adobe
Componente
adobe-connect
Corrigido em
12.10.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no Adobe Connect, afetando versões desde 0.0.0 até 12.10. Um atacante pode explorar essa falha para injetar scripts maliciosos em páginas web, comprometendo contas ou sessões de usuários. A atualização para a versão 2025.3 resolve essa vulnerabilidade, mitigando o risco de exploração.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à tomada de controle da conta do usuário. O impacto é amplificado se o Adobe Connect for usado em ambientes corporativos, onde o acesso não autorizado a informações confidenciais pode ter consequências graves. A injeção de scripts pode ser usada para coletar credenciais de login, informações pessoais ou dados sensíveis armazenados no Adobe Connect, comprometendo a confidencialidade e integridade dos dados.
Esta vulnerabilidade foi divulgada em 2026-04-14. Não há relatos públicos de exploração ativa no momento, mas a natureza de XSS a torna um alvo atraente para atacantes. A ausência de um KEV listing indica que a probabilidade de exploração em larga escala é considerada baixa a média. A necessidade de interação do usuário para exploração limita o impacto, mas a facilidade de criação de URLs maliciosas exige atenção.
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or online meetings are particularly at risk. Users with administrative privileges within Adobe Connect are at higher risk, as a successful XSS attack could grant an attacker full control over the system. Shared hosting environments where multiple Adobe Connect instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• generic web: Use curl to test potentially vulnerable endpoints with XSS payloads (e.g., <script>alert(1)</script>). Examine the response for signs of script execution.
curl 'https://adobeconnect.example.com/some/vulnerable/page?param=<script>alert(1)</script>' -s• generic web: Check access and error logs for suspicious requests containing XSS payloads or unusual characters. • adobe: Examine Adobe Connect's configuration files for any custom scripts or plugins that might be vulnerable to XSS. • adobe: Review Adobe Connect's audit logs for any unusual activity or unauthorized access attempts.
disclosure
Status do Exploit
EPSS
0.10% (percentil 29%)
CISA SSVC
Vetor CVSS
A principal mitigação para esta vulnerabilidade é a atualização imediata para a versão 2025.3 do Adobe Connect. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas de usuário e a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts. Monitore os logs do Adobe Connect em busca de atividades suspeitas, como tentativas de injeção de scripts ou redirecionamentos inesperados. Implementar um Web Application Firewall (WAF) pode ajudar a bloquear solicitações maliciosas antes que elas atinjam o servidor.
Atualize o Adobe Connect para a versão 2025.3 ou posterior para mitigar a vulnerabilidade de Cross-Site Scripting (XSS). Esta atualização aborda a falha ao validar a entrada do usuário, prevenindo a injeção de scripts maliciosos. Consulte a página de segurança da Adobe para obter mais detalhes e instruções de instalação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27245 is a critical Cross-Site Scripting (XSS) vulnerability affecting Adobe Connect versions 0.0.0–12.10, allowing attackers to inject malicious scripts.
If you are using Adobe Connect versions 2025.3 or earlier, including 12.10, you are potentially affected by this vulnerability.
Upgrade Adobe Connect to version 2025.3 or later to resolve this vulnerability. Consider WAF rules as an interim measure.
While no active exploitation campaigns have been publicly reported, the vulnerability's nature suggests that exploitation is likely.
Refer to the official Adobe Security Bulletin for CVE-2026-27245 on the Adobe Security Advisories website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.