CVE-2026-27246Adobe Connect 2025.3、12.10及更早版本存在DOM型跨站脚本漏洞。攻击者可诱导受害者访问恶意链接,利用该漏洞在受害者浏览器中注入恶意脚本。由于无需认证且涉及范围变更,攻击者可能劫持会话、窃取敏感数据或提升权限,造成高机密性和完整性影响。
该漏洞属于典型的DOM-based XSS(基于文档对象模型的跨站脚本攻击)。在Adobe Connect受影响版本中,前端JavaScript代码在处理用户可控的输入源(例如URL查询参数、Fragment标识符等)时,未能进行有效的上下文敏感转义。攻击者利用这一缺陷,精心构造包含恶意JavaScript代码的URL链接。当受害者被诱导并点击该链接访问Adobe Connect系统时,客户端浏览器解析DOM树,将未经过滤的数据直接传递给不安全的接收点,如`document.write`、`innerHTML`或`eval`函数。这导致恶意代码在受害者的浏览器上下文中执行。由于该漏洞无需认证即可利用(PR:N),且攻击复杂度低(AC:L),结合范围变更(S:C)的特性,攻击者不仅能窃取Session ID、Cookies等敏感信息以实现账户接管,还能利用受害者的权限在系统中执行恶意操作,对数据的机密性和完整性构成严重威胁。