В Банке данных угроз безопасности информации (BDU) зарегистрирован комплекс критических уязвимостей в популярном программном обеспечении для веб-конференций Adobe Connect. Речь идёт о трёх отдельных, но одинаково опасных проблемах безопасности, которые затрагивают как серверную часть платформы, так и приложение. Две из уязвимостей классифицируются как межсайтовый скриптинг (XSS, Cross-Site Scripting), а одна позволяет удалённо выполнить произвольный код (RCE, Remote Code Execution). Производитель подтвердил все проблемы и уже выпустил исправления.
Детали уязвимостей
Уязвимости получили идентификаторы BDU:2026-05595, BDU:2026-05596 и BDU:2026-05598. Соответственно, в международной базе Common Vulnerabilities and Exposures им присвоены коды CVE-2026-27245, CVE-2026-34615 и CVE-2026-27246. Все три ошибки представляют собой уязвимости кода и были обнаружены 14 апреля 2026 года. Под угрозой находятся версии Adobe Connect до 12.10 включительно и Adobe Connect Desktop Application до 2025.3 включительно.
Наиболее серьёзной из обнаруженных проблем является уязвимость, описанная в BDU:2026-05596 (CVE-2026-34615). Она связана с недостатками в механизме десериализации данных. Эксплуатация этой ошибки позволяет удалённому злоумышленнику выполнить произвольный код в контексте текущего пользователя. Фактически, это открывает путь для полного захвата контроля над системой. Уязвимости такого класса, связанные с десериализацией, часто используются для развёртывания вредоносного кода, похищения данных или создания точек постоянного присутствия (persistence) в корпоративной сети.
Две другие уязвимости, BDU:2026-05595 и BDU:2026-05598 (CVE-2026-27245 и CVE-2026-27246), относятся к категории межсайтового скриптинга (XSS). Они возникают из-за непринятия мер по защите структуры веб-страницы. Атака XSS позволяет злоумышленнику внедрить и выполнить произвольные сценарии JavaScript в браузере жертвы. В контексте платформы для конференций это может привести к краже сессионных cookie, перехвату аудио- и видеопотоков, подмене интерфейса для фишинга учётных данных или распространению вредоносной полезной нагрузки (payload) среди всех участников встречи.
Оценка по системе CVSS подчёркивает исключительную опасность этих находок. По версии CVSS 2.0 базовая оценка для всех трёх уязвимостей составляет 9.4 из 10, что соответствует высокому уровню опасности. Более современная метрика CVSS 3.1 присваивает им 9.3 балла, классифицируя как критические. Векторы атаки указывают на то, что для эксплуатации не требуется аутентификация (PR:N), а сложность атаки низкая (AC:L). Более того, потенциальное воздействие оценивается как высокое на конфиденциальность (C:H) и целостность (I:H) данных.
Важно отметить, что, согласно данным BDU, способ эксплуатации для всех уязвимостей - инъекция. Это означает, что атака осуществляется путём внедрения некорректных или злонамеренных данных в входные потоки приложения. На текущий момент наличие работающих эксплойтов в открытом доступе уточняется. Однако высокая оценка CVSS и относительная простота эксплуатации подобных классов уязвимостей создают значительное окно риска для организаций, затягивающих с обновлением.
Администраторам и пользователям настоятельно рекомендуется немедленно принять меры. Производитель выпустил обновления безопасности, устраняющие все указанные проблемы. Актуальная информация и рекомендации по обновлению опубликованы в бюллетене безопасности Adobe APSB26-37. Установка последних версий программного обеспечения является единственным надёжным способом устранения уязвимостей.
Данный инцидент в очередной раз демонстрирует важность своевременного применения обновлений безопасности для корпоративного ПО, особенно для приложений, работающих с конфиденциальными данными в реальном времени. Платформы для удалённого взаимодействия, такие как Adobe Connect, стали критически важной инфраструктурой для многих компаний. Следовательно, уязвимости в них привлекают пристальное внимание киберпреступников и групп продвинутой постоянной угрозы (APT). Оперативное закрытие таких брешей должно быть приоритетом для ИТ- и SOC-команд.
Ссылки
- https://bdu.fstec.ru/vul/2026-05595
- https://bdu.fstec.ru/vul/2026-05596
- https://bdu.fstec.ru/vul/2026-05598
- https://www.cve.org/CVERecord?id=CVE-2026-27245
- https://www.cve.org/CVERecord?id=CVE-2026-34615
- https://www.cve.org/CVERecord?id=CVE-2026-27246
- https://helpx.adobe.com/security/products/connect/apsb26-37.html
