CVE-2026-34630Adobe Bridge 16.0.2、15.1.4及更早版本存在一个基于堆的缓冲区溢出漏洞。该漏洞允许攻击者在当前用户的上下文中执行任意代码。成功利用此漏洞需要用户交互,即受害者必须打开特制的恶意文件。攻击者可通过诱导用户打开此类文件来触发漏洞,从而控制系统。
该漏洞的根本原因在于Adobe Bridge在处理特定文件格式或解析文件元数据时,未能正确验证输入数据的长度或边界,导致发生基于堆的缓冲区溢出。当应用程序解析精心构造的恶意文件时,会将过量的数据写入堆分配的缓冲区中。这种越界写入可能覆盖相邻的内存块、堆管理结构或关键的对象指针。由于CVSS向量显示攻击向量为本地(AV:L)且无需认证(PR:N),但需要用户交互(UI:R),攻击者通常通过网络钓鱼分发伪装成正常图像或文档的恶意文件。一旦用户在易受攻击的Adobe Bridge版本中打开该文件,即可触发内存破坏,进而劫持程序执行流,在当前用户的权限上下文中执行任意Shellcode或指令,导致系统被完全入侵。