Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych zawiera podatność klasy Deserialization of Untrusted Data (CWE-502), która może doprowadzić do wykonania dowolnego kodu w kontekście zalogowanego użytkownika. Podatność jest oceniana jako krytyczna (CVSS 9.3) ze względu na możliwość przejęcia kontroli nad kontem lub sesją ofiary.
▸ Pokaż oryginał (EN)
Adobe Connect versions 2025.3, 12.10 and earlier are affected by a Deserialization of Untrusted Data vulnerability that could result in arbitrary code execution in the context of the current user. An attacker could exploit this vulnerability to inject malicious scripts into a web page, potentially gaining elevated access or control over the victim's account or session. Exploitation of this issue requires user interaction in that a victim must visit a maliciously crafted URL or interact with a compromised web page. Scope is changed.
Atakujący może dostarczyć spreparowane, niezaufane dane do mechanizmu deserializacji w Adobe Connect, co skutkuje wstrzyknięciem złośliwych skryptów do strony internetowej. Exploitacja wymaga interakcji użytkownika – ofiara musi odwiedzić złośliwie spreparowany adres URL lub wejść w interakcję z zainfekowaną stroną. Zmiana zakresu (Scope Changed) oznacza, że skutki ataku mogą wykraczać poza bezpośredni kontekst podatnej aplikacji.
Atakujący może wykonać arbitralny kod w kontekście bieżącego użytkownika, a także uzyskać podwyższony dostęp lub przejąć kontrolę nad kontem bądź sesją ofiary.
Należy zaktualizować Adobe Connect do wersji nowszej niż 2025.3 / 12.10 zgodnie z zaleceniami producenta opublikowanymi w biuletynie bezpieczeństwa APSB26-37 dostępnym pod adresem https://helpx.adobe.com/security/products/connect/apsb26-37.html
Adobe Connect w wersjach 2025.3, 12.10 i wcześniejszych, działający na Microsoft Windows oraz Apple macOS (w tym Adobe Connect Desktop Application).
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NAdobe Connect
APPAdobe< 12.11Adobe Connect Desktop Application
APPAdobe≤ 2025.3< 2025.9.15Apple macOS
OSApplewszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio