CVE-2026-34617 描述了 Adobe Connect 中存在的跨站脚本攻击 (XSS) 漏洞。该漏洞允许低权限攻击者通过注入恶意脚本,潜在地获得更高的访问权限或控制受害者的帐户或会话。受影响的版本包括 Adobe Connect 2025.3 之前的版本,以及 12.10 及更早版本。已于 2026 年 4 月 14 日发布,建议升级至 2025.3 版本以解决此问题。
该 XSS 漏洞允许攻击者在受害者的浏览器中执行恶意 JavaScript 代码。攻击者可以利用此漏洞窃取敏感信息,例如 Cookie 和会话令牌,从而冒充受害者执行操作。此外,攻击者还可以利用此漏洞重定向受害者到恶意网站,或在受害者不知情的情况下安装恶意软件。由于需要用户交互(访问恶意构造的 URL 或与受损网页交互),因此攻击者需要诱骗受害者点击恶意链接或访问恶意网站。该漏洞的范围已更新。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞已添加到 CISA KEV 目录,表明存在中等概率的利用风险。由于该漏洞需要用户交互,因此实际利用可能受到限制。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Organizations heavily reliant on Adobe Connect for webinars, training sessions, or internal communications are at significant risk. Specifically, environments with shared user accounts or those lacking robust input validation practices are more vulnerable. Users who frequently interact with external content within Adobe Connect are also at increased risk.
• adobe / web:
grep -r 'script src=' /var/www/adobeconnect/includes/common/*.js• generic web:
curl -I https://your-adobeconnect-server/malicious.html | grep -i content-security-policy• generic web:
curl -I https://your-adobeconnect-server/ | grep -i x-frame-optionsdisclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
解决此漏洞的首要措施是立即升级至 Adobe Connect 2025.3 或更高版本。如果无法立即升级,可以考虑实施临时缓解措施。例如,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意脚本的请求。此外,还可以审查 Adobe Connect 的配置,以确保已禁用不必要的 JavaScript 功能。在升级后,请验证漏洞是否已成功修复,例如通过尝试触发 XSS 攻击并确认脚本未执行。
Actualice Adobe Connect a la versión 2025.3 o posterior para mitigar la vulnerabilidad de XSS. Consulte la página de Adobe Security Bulletin APSB26-37 para obtener más detalles e instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34617 是 Adobe Connect 2.025.3 之前的版本(包括 12.10)中的跨站脚本攻击 (XSS) 漏洞,允许攻击者注入恶意脚本,可能导致权限提升。
如果您正在使用 Adobe Connect 2025.3 之前的版本,或者 12.10 及更早版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级至 Adobe Connect 2025.3 或更高版本以修复此漏洞。
目前尚无公开的漏洞利用程序,但该漏洞已添加到 CISA KEV 目录,表明存在中等概率的利用风险。
请访问 Adobe 安全公告网站以获取更多信息:https://www.adobe.com/security/advisories/.
CVSS 向量