Adobe Connect est la plateforme de webinar/visioconférence d'Adobe, utilisée par les institutions éducatives, les départements RH formation, et les sociétés de coaching/conseil pour héberger des sessions en ligne. Le 12 mai 2026, Adobe a publié deux CVE CRITICAL affectant Adobe Connect ≤ 2025.9.15 :
- CVE-2026-34659 (CVSS 9.6) — Désérialisation de données non fiables → RCE
- CVE-2026-34660 (CVSS 9.3) — Incorrect Authorization → injection de scripts dans le contexte utilisateur
Les deux exploitations requièrent une interaction utilisateur (visite d'un lien malveillant ou interaction avec une page compromise) mais ont un scope changed (l'attaque traverse les barrières d'isolation et impacte au-delà du composant vulnérable). C'est typique des CVE webinar : un attaquant envoie un lien à une victime via email/Slack, la victime clique en pensant ouvrir une session légitime, et son compte est compromis.
CVE-2026-34659 — Deserialization of Untrusted Data (RCE)
Composant et mécanisme
L'application Adobe Connect Desktop (et probablement aussi le composant web côté serveur) désérialise des données reçues d'un canal externe (URL crafted, payload réseau, fichier d'invitation) sans validation de signature ou type. Les frameworks Adobe utilisent historiquement des sérialisations Java/.NET avec gadget chains connus (BlazeDS, AMF, Java Serialization, .NET BinaryFormatter).
L'attaque suit le pattern classique :
- L'attaquant crafte une URL Adobe Connect malicieuse
- La victime clique → la desktop app traite l'URL
- Le payload sérialisé contient une gadget chain qui invoque des méthodes magiques à la désérialisation
- Une méthode du chain finit par appeler
Runtime.exec(),ProcessStartInfo, ou équivalent - RCE dans le contexte de l'utilisateur
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.6 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| CWE | CWE-502 (Deserialization of Untrusted Data) |
| Scope | Changed |
| Interaction utilisateur | Requise |
CVE-2026-34660 — Incorrect Authorization (script injection)
Composant et mécanisme
Cette CVE est plus subtile : un défaut d'autorisation permet à un attaquant d'injecter des scripts dans une page Connect, qui sont ensuite exécutés dans le contexte de la session de la victime.
Vecteur similaire mais avec impact C:H/I:H/A:N (pas d'impact dispo), suggérant un scénario type :
- L'attaquant injecte du JavaScript dans une page Connect (chat, slide, profile)
- La victime visite la page → script exécuté côté client
- Détournement de session : le script vole les cookies, tokens, ou pose des actions au nom de la victime
- Compromission du compte Adobe Connect
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.3 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
| CWE | CWE-863 (Incorrect Authorization) + CWE-79 (XSS implicit) |
| Scope | Changed |
Produits et versions affectés
| Produit | Versions affectées | Version corrigée |
|---|---|---|
| Adobe Connect Desktop Application | ≤ 2025.9.15 | Voir bulletin officiel |
| Adobe Connect | ≤ 2025.8.157 | Voir bulletin officiel |
Vérifie la version installée :
- Desktop app : ouvre l'app → Help → About → numéro de version
- Serveur Adobe Connect on-premises : Admin Console → System → Server Status
Exploitation et impact
Scénarios réalistes
Scénario 1 — Email phishing avec lien Connect
Un attaquant envoie un email "Invitation à une formation interne RH" avec un lien https://your-connect-instance.adobeconnect.com/...?room=ABC&payload=<malicious>. La victime clique, la desktop app s'ouvre, le payload désérialisé exécute du code dans son contexte utilisateur.
Impact : vol des credentials stockés, accès au profil, exfiltration de fichiers locaux, persistance via planificateur de tâches.
Scénario 2 — Script injecté dans un slide partagé
Un utilisateur invité d'une session Adobe Connect (faux nom, faux compte) injecte du JavaScript via un champ de chat ou un profile. Quand un présentateur ou un autre participant rafraîchit la page, le script s'exécute dans leur session.
Impact : détournement de compte présentateur (qui a des privilèges plus élevés), enregistrement de sessions, exfiltration de la liste des participants et de leurs emails.
Contexte d'attaque réel
Les CVE Adobe Connect sont régulièrement exploitées dans des campagnes ciblées contre des organisations gouvernementales ou éducatives. La pile Adobe Connect a été visée par plusieurs APT documentés (notamment des acteurs liés à la Chine et la Russie pour des opérations d'espionnage académique).
Détection et IOC
Logs Adobe Connect (côté serveur on-premises)
# Logs typiques
/opt/adobe/Adobe-Connect-*/server/logs/
Indicateurs :
- Volume anormal de requêtes vers des URLs Connect malformées
- Patterns de sérialisation Java/.NET dans les payloads
- Codes 500 répétés sur certains endpoints
- Sessions admin créées depuis des IPs inhabituelles
Logs endpoint (côté utilisateur)
- Processus inattendus lancés par
AdobeConnect.exeou la JVM Adobe - Fichiers créés dans
%LOCALAPPDATA%\Adobe\Connect - Connexions sortantes vers des destinations non Adobe
Règle Sigma indicatif (à adapter)
title: Adobe Connect deserialization payload pattern
logsource:
product: adobe_connect
detection:
selection:
request_body|contains:
- 'rO0AB' # Java serialization magic
- 'AC ED 00 05' # Java serialization hex
- '0001000FAxis' # AMF
condition: selection
level: high
Mitigation et patch
Action immédiate : patcher
Adobe a publié les versions corrigées sur le portail support :
https://helpx.adobe.com/security/products/connect/apsb26-XX.html
(Le numéro exact dépend du bulletin Adobe — vérifie sur le portail).
Desktop app
- Ouvre l'app → menu Aide → Vérifier les mises à jour
- Ou désinstalle et réinstalle depuis le portail Adobe
Connect on-premises serveur
Suis la procédure officielle d'Adobe pour appliquer le patch (peut nécessiter une interruption de service de quelques minutes).
Workaround temporaire si patch impossible
- Désinstaller la desktop app : forcer les utilisateurs à utiliser la version web (moins exposée à la deserialization car contrainte par le navigateur)
- Bloquer les URLs Connect non maîtrisées au niveau du proxy d'entreprise — autoriser uniquement les URLs vers ton tenant
- Sensibiliser les utilisateurs : éducation contre le phishing avec liens Connect
Hardening durable
- Forcer la web app pour les utilisateurs externes (invités) — réserver la desktop app aux internes
- Activer le SSO Entra ID / Okta avec MFA renforcée
- Audit régulier des sessions et participants invités
- Logs centralisés vers un SIEM avec alertes sur les patterns suspects
Pourquoi surveiller en continu vos outils de collaboration
Les outils de visio/webinar/collaboration (Adobe Connect, Zoom, Webex, Teams, Slack…) sont des cibles privilégiées car ils combinent : exposition publique pour les invitations, traitement de fichiers non fiables, et privilèges utilisateur élevés (accès aux ressources d'entreprise via SSO). Une CVE comme celle d'Adobe Connect peut servir de point d'entrée APT dans des organisations sensibles.
Avec cveo.tech, inventoriez vos outils de collaboration et leurs versions client/serveur déployées dans votre parc et recevez un email automatique dès qu'une CVE critique cible une de vos versions — pour pousser les mises à jour via MDM/GPO avant que les phishing campagnes ne ciblent vos utilisateurs.