CRITICALCVE-2026-27245CVSS 9.3

Adobe Connect | 跨站脚本 (Reflected XSS) (CWE-79)

平台

adobe

组件

adobe-connect

修复版本

12.10.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27245 描述了 Adobe Connect 软件中的一个跨站脚本 (XSS) 漏洞。该漏洞允许攻击者将恶意脚本注入到网页中，从而可能导致账户被盗或会话控制。此漏洞影响 Adobe Connect 2025.3 之前的版本，包括 12.10 及更早版本。已发布安全补丁，建议用户尽快升级。

影响与攻击场景

该 XSS 漏洞的潜在影响非常严重。攻击者可以利用该漏洞在受害者不知情的情况下执行恶意 JavaScript 代码。这可能导致攻击者窃取用户的 Cookie、会话令牌或其他敏感信息，从而完全控制用户的账户。此外，攻击者还可以利用该漏洞重定向用户到恶意网站，或在受害者不知情的情况下执行其他恶意操作。由于该漏洞是反射型 XSS，攻击者需要诱骗受害者访问精心构造的恶意 URL，因此社会工程攻击可能成为利用此漏洞的常见手段。

利用背景

该漏洞已于 2026 年 4 月 14 日公开披露。目前尚未观察到大规模的利用活动，但由于该漏洞的严重性和易于利用性，预计可能会被攻击者利用。建议密切关注安全社区的动态，并及时采取必要的安全措施。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Organizations heavily reliant on Adobe Connect for webinars, training sessions, or online meetings are particularly at risk. Users with administrative privileges within Adobe Connect are at higher risk, as a successful XSS attack could grant an attacker full control over the system. Shared hosting environments where multiple Adobe Connect instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others.

检测步骤翻译中…

• generic web: Use curl to test potentially vulnerable endpoints with XSS payloads (e.g., <script>alert(1)</script>). Examine the response for signs of script execution.

curl 'https://adobeconnect.example.com/some/vulnerable/page?param=<script>alert(1)</script>' -s

• generic web: Check access and error logs for suspicious requests containing XSS payloads or unusual characters. • adobe: Examine Adobe Connect's configuration files for any custom scripts or plugins that might be vulnerable to XSS. • adobe: Review Adobe Connect's audit logs for any unusual activity or unauthorized access attempts.

攻击时间线

2026-04-14Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.10% (29% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件adobe-connect

供应商Adobe

影响范围修复版本

0 – 12.1012.10.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-02-18
发布日期2026-04-14
修改日期2026-04-28
EPSS 更新日期2026-04-22

缓解措施和替代方案

最有效的缓解措施是立即将 Adobe Connect 升级到 2025.3 或更高版本，该版本包含此漏洞的修复程序。如果由于兼容性问题无法立即升级，可以考虑以下临时缓解措施：严格审查所有输入数据，并对用户提交的数据进行适当的验证和清理，以防止恶意脚本注入。实施内容安全策略 (CSP) 可以限制浏览器可以加载的资源，从而降低 XSS 攻击的风险。此外，监控 Adobe Connect 服务器的访问日志，以检测可疑活动，并及时采取应对措施。

修复方法

将 Adobe Connect 更新到 2025.3 或更高版本以缓解跨站脚本 (XSS) 漏洞。此更新解决了验证用户输入时的故障，从而防止恶意脚本注入。请参阅 Adobe 安全页面以获取更多详细信息和安装说明。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27245 — XSS in Adobe Connect?

CVE-2026-27245 是 Adobe Connect 软件中发现的一个跨站脚本 (XSS) 漏洞，允许攻击者注入恶意脚本。

我是否受到 CVE-2026-27245 in Adobe Connect 的影响?

如果您正在使用 Adobe Connect 2025.3 之前的版本，包括 12.10 及更早版本，则可能受到此漏洞的影响。

我如何修复 CVE-2026-27245 in Adobe Connect?

将 Adobe Connect 升级到 2025.3 或更高版本以修复此漏洞。

CVE-2026-27245 是否正在被积极利用?

目前尚未观察到大规模的利用活动，但由于漏洞的严重性，预计可能会被攻击者利用。

在哪里可以找到 Adobe Connect 官方关于 CVE-2026-27245 的公告?

请访问 Adobe 安全公告页面以获取更多信息：[https://www.adobe.com/security/advisories/](https://www.adobe.com/security/advisories/)