CVE-2024-54032 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Adobe Connect 存在**存储型跨站脚本 (XSS)** 漏洞。 📉 **后果**：恶意脚本被注入表单并持久化存储，受害者访问时自动执行，导致**会话劫持**或**敏感数据泄露**。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：输入验证缺失。攻击者可在**易受攻击的表单字段**中注入恶意脚本，服务器未过滤直接存储。

🏢 **厂商**：Adobe (奥多比)。 💻 **产品**：Adobe Connect (会议环境软件)。 📦 **版本**：**12.6 版本及之前版本**均受影响。

🕵️ **权限**：无需管理员权限，普通用户交互即可触发。 📂 **数据**：可窃取**Cookie/Session**、读取页面内容、执行任意 JS 操作，完全控制受害者浏览器视角。

🚪 **利用门槛**：中等。 🔑 **认证**：CVSS 显示 **PR:N** (无需权限)，但 **UI:R** (需要用户交互)。 ⚙️ **配置**：攻击者需诱导受害者点击包含恶意脚本的链接或访问特定页面。

📦 **Exp/PoC**：当前数据源中 **无公开 PoC** (pocs: [])。 🌍 **在野利用**：暂无明确在野利用报告，但存储型 XSS 风险极高，需警惕。

🔎 **自查特征**：检查 Adobe Connect 版本是否 ≤ 12.6。 📡 **扫描**：使用 WAF 或 DAST 工具扫描表单字段，检测是否存在未过滤的 `<script>` 标签或事件处理器 (如 `onerror`)。

🛡️ **官方修复**：已发布安全公告 (APSB24-99)。 📅 **时间**：2024-12-10 公布。 ✅ **建议**：立即联系 Adobe 获取**最新版本**补丁。

🚧 **临时规避**： 1. **输入过滤**：严格净化表单输入，禁用 HTML/JS 标签。 2. **输出编码**：对存储的数据进行 HTML 实体编码。 3. **CSP**：部署严格的**内容安全策略 (CSP)** 阻止未授权脚本执行。

⚡ **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N (严重)。 💡 **见解**：存储型 XSS 危害持久且广泛，建议**立即升级**或实施缓解措施，防止内部会议数据泄露。