CVE-2026-21331Adobe Connect 2025.3、12.10及更早版本被披露存在一个反射型跨站脚本(XSS)漏洞。由于应用程序未能对用户输入进行充分的过滤和转义,攻击者可以构建包含恶意JavaScript代码的特制URL。一旦诱骗受害者访问该URL,恶意脚本便会在受害者的浏览器上下文中执行。此漏洞无需身份认证即可被利用,但需要受害者进行交互,攻击成功后可能导致用户敏感信息泄露或会话被劫持。
该漏洞属于典型的反射型XSS漏洞,核心原因在于Adobe Connect服务器端在处理特定HTTP请求参数时,未正确实施输入验证和输出编码。攻击者利用这一点,将恶意JavaScript代码注入到URL参数中。当未察觉的受害者点击攻击者精心构造的恶意链接时,服务器会接收请求并将未经净化的参数值直接嵌入到响应页面的HTML中返回给浏览器。浏览器随即解析并执行该恶意脚本。由于CVSS向量中包含S:C(Scope Changed),这意味着攻击不仅限于受影响的Adobe Connect应用,还可能利用浏览器机制影响同一浏览器上下文下的其他站点。攻击者可利用此漏洞窃取Session Cookie、执行未授权操作,或进一步进行钓鱼攻击。