CRITICALCVE-2026-27243CVSS 9.3

Adobe Connect | 跨站脚本 (反射型 XSS) (CWE-79)

平台

adobe

组件

adobe-connect

修复版本

12.10.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27243 描述了 Adobe Connect 中存在的反射型跨站脚本 (XSS) 漏洞。该漏洞允许攻击者将恶意脚本注入到网页中，从而可能提升权限或控制受害者的账户或会话。此漏洞影响 Adobe Connect 2.025.3 之前的版本，包括 12.10 版本。建议用户尽快升级至 2025.3 版本以解决此问题。

影响与攻击场景

攻击者可以利用此 XSS 漏洞，通过诱使用户访问恶意构造的 URL 或与受损网页交互，将恶意脚本注入到 Adobe Connect 的网页中。成功利用此漏洞可能导致攻击者窃取用户的敏感信息，例如 Cookie 和会话令牌，从而冒充用户执行未经授权的操作。此外，攻击者还可以利用此漏洞将用户重定向到恶意网站，或在受害者的浏览器中执行恶意代码，从而进一步危害系统的安全。这种攻击模式类似于其他常见的 XSS 漏洞，可能导致严重的后果。

利用背景

该漏洞已于 2026 年 4 月 14 日公开披露。目前尚无公开的利用程序 (PoC)，但由于 XSS 漏洞的普遍性，预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的风险。建议密切关注 Adobe Connect 的安全公告，并及时采取相应的措施。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.10% (29% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件adobe-connect

供应商Adobe

影响范围修复版本

0 – 12.1012.10.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-02-18
发布日期2026-04-14
修改日期2026-04-28
EPSS 更新日期2026-04-22

缓解措施和替代方案

最有效的缓解措施是立即将 Adobe Connect 升级至 2025.3 或更高版本。如果无法立即升级，可以考虑实施一些临时缓解措施。例如，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以过滤掉包含恶意脚本的请求。此外，还可以对 Adobe Connect 的输入进行严格的验证和过滤，以防止恶意脚本的注入。务必在升级后验证修复是否成功，可以通过尝试在 Adobe Connect 中注入简单的 JavaScript 代码来确认。

修复方法

将 Adobe Connect 更新到 2025.3 或更高版本以缓解跨站脚本 (XSS) 漏洞。有关更多详细信息和更新说明，请参阅 Adobe 安全页面：https://helpx.adobe.com/security/products/connect/apsb26-37.html

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27243 — XSS 在 Adobe Connect 中？

CVE-2026-27243 是 Adobe Connect 2.025.3 之前的版本（包括 12.10）中的反射型跨站脚本 (XSS) 漏洞，允许攻击者注入恶意脚本。

我是否受到 CVE-2026-27243 在 Adobe Connect 中影响？

如果您正在使用 Adobe Connect 2.025.3 之前的版本（包括 12.10），则可能受到此漏洞的影响。

我如何修复 CVE-2026-27243 在 Adobe Connect 中？

请立即将 Adobe Connect 升级至 2025.3 或更高版本。

CVE-2026-27243 是否正在被积极利用？

目前尚无公开的利用程序，但由于 XSS 漏洞的普遍性，预计未来可能会出现。

在哪里可以找到 Adobe Connect 官方关于 CVE-2026-27243 的公告？

请访问 Adobe 的安全公告页面，搜索 CVE-2026-27243 以获取官方信息。