Plataforma
adobe
Componente
adobe-connect
Corrigido em
12.10.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) do tipo DOM foi identificada no Adobe Connect, afetando versões desde 0.0.0 até 12.10. Um atacante pode explorar essa falha para injetar scripts maliciosos em páginas web, comprometendo potencialmente a conta ou sessão do usuário. A Adobe lançou uma correção na versão 2025.3, mitigando o risco.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de ações em nome do usuário afetado. O impacto é amplificado se o Adobe Connect for usado em ambientes corporativos, onde um único comprometimento pode levar ao acesso não autorizado a informações confidenciais e sistemas internos. A necessidade de interação do usuário (visita a um URL malicioso) limita o potencial de exploração em massa, mas ainda representa um risco significativo para usuários desavisados.
Esta vulnerabilidade foi divulgada em 2026-04-14. Não há relatos públicos de exploração ativa no momento da divulgação, mas a natureza da XSS a torna um alvo potencial para exploração em campanhas direcionadas. A necessidade de interação do usuário pode diminuir a probabilidade de exploração em larga escala, mas a severidade do CVSS (9.3) indica um alto risco potencial. Não foi adicionada ao KEV catalog.
Organizations and individuals using Adobe Connect for online meetings, webinars, and training sessions are at risk. This includes educational institutions, businesses, and government agencies. Users who frequently interact with external content or share links within Adobe Connect are particularly vulnerable.
• generic web: Monitor access logs for unusual URL patterns containing suspicious JavaScript code. Use curl to test endpoints for XSS vulnerabilities.
curl -X GET 'https://your-adobe-connect-server/malicious_url' -d 'alert(1)'• adobe: Review Adobe Connect server logs for unusual activity or errors related to script execution. Check for unauthorized modifications to web page content. • generic web: Implement Content Security Policy (CSP) to restrict the sources from which scripts can be executed.
disclosure
Status do Exploit
EPSS
0.10% (percentil 29%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 2025.3 ou superior do Adobe Connect. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de segurança adicionais, como a aplicação de políticas de segurança de conteúdo (CSP) para restringir a execução de scripts de fontes não confiáveis. Monitore logs de acesso e eventos de segurança em busca de atividades suspeitas, como tentativas de injeção de scripts. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS pode ajudar a reduzir o risco.
Atualize o Adobe Connect para a versão 2025.3 ou posterior para mitigar a vulnerabilidade de (XSS). Consulte a página de segurança da Adobe para obter mais detalhes e instruções de atualização: https://helpx.adobe.com/security/products/connect/apsb26-37.html
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27246 é uma vulnerabilidade de Cross-Site Scripting (XSS) do tipo DOM no Adobe Connect, permitindo a injeção de scripts maliciosos em páginas web.
Se você estiver usando o Adobe Connect nas versões 0.0.0 até 12.10, você está potencialmente afetado. A atualização para a versão 2025.3 ou superior é essencial.
A correção é a atualização para a versão 2025.3 ou superior do Adobe Connect. Considere também a implementação de CSP e monitoramento de logs.
Não há relatos públicos de exploração ativa no momento da divulgação, mas a vulnerabilidade é considerada de alto risco.
Consulte o site oficial da Adobe para obter informações detalhadas e o advisory de segurança relacionado a CVE-2026-27246.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.