CVE-2026-34636Adobe Premiere Pro 26.0.2、25.6.4及更早版本中存在一个严重的越界写入漏洞。该漏洞是由于软件在解析特定文件格式时未能正确验证数据边界导致的。攻击者可以利用此漏洞,诱导受害者打开一个特制的恶意文件,从而在当前用户的权限上下文中执行任意代码。由于该漏洞需要用户交互,常被用于钓鱼攻击,对用户数据安全构成严重威胁。
该漏洞属于典型的内存破坏漏洞,具体表现为越界写入。在Adobe Premiere Pro加载或解析项目文件及媒体数据时,存在逻辑错误,未对写入缓冲区的数据长度进行严格校验。攻击者通过构造精心设计的恶意文件,可以控制写入的数据量及内容。当受害者使用受影响的软件版本打开该文件时,解析引擎会触发越界操作,覆盖相邻的内存区域。由于攻击向量为本地(AV:L)且需要用户交互(UI:R),攻击者常利用社会工程学手段分发恶意文件。通过覆盖关键内存结构(如返回地址或虚表指针),攻击者能够劫持程序的执行流,最终在当前用户的上下文中执行任意恶意代码,实现代码执行的效果。