CVE-2024-54036 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Adobe Connect 存在**存储型跨站脚本 (XSS)** 漏洞。 💥 **后果**：攻击者可将**恶意脚本**注入表单字段，持久化存储，受害者访问时脚本自动执行，导致**会话劫持**或**敏感数据泄露**。

🔍 **CWE**：CWE-79 (跨站脚本)。 📍 **缺陷点**：**输入验证缺失**。易受攻击的**表单字段**未对输入内容进行有效过滤或转义，导致恶意代码被当作正常内容存储。

🏢 **厂商**：Adobe (奥多比)。 📦 **产品**：Adobe Connect。 📅 **版本**：**12.6 版本及之前版本**均受影响。

🕵️ **权限**：无需管理员权限，普通用户交互即可触发。 📊 **数据**：可窃取**Cookie/Session**、读取页面敏感信息、执行任意 JavaScript 操作，甚至重定向用户。

🚪 **利用门槛**：**中等**。 🔑 **条件**： - **网络**：远程 (AV:N) - **复杂度**：低 (AC:L) - **权限**：无需认证 (PR:N) - **交互**：需用户交互 (UI:R) - 受害者需点击或访问被注入的链接/页面。

🧪 **PoC**：漏洞数据中 **PoCs 为空**。 🌍 **在野利用**：未提及。 ⚠️ **注意**：虽无公开 Exp，但存储型 XSS 原理简单，**自行构造 PoC 难度低**，风险极高。

🔎 **自查方法**： 1. 检查 Adobe Connect 版本是否 **≤ 12.6**。 2. 审查**表单字段**输入处理逻辑，确认是否缺乏**输出编码**或**输入过滤**。 3. 使用 DAST 工具扫描存储型 XSS 风险。

🛡️ **官方修复**：已发布安全公告 (APSB24-99)。 📝 **链接**：[Adobe Security Advisory](https://helpx.adobe.com/security/products/connect/apsb24-99.html)。 ✅ **建议**：立即升级至**最新版本**。

🚧 **临时规避**： - **输入过滤**：严格限制表单输入，禁用 HTML/JS 标签。 - **输出编码**：对所有用户输入进行**HTML 实体编码**。 - **CSP**：部署严格的**内容安全策略 (CSP)** 限制脚本执行来源。

⚡ **优先级**：**高**。 📈 **CVSS**：**7.5** (高危)。 💡 **理由**：**无需认证**即可触发，且为**存储型**，影响范围广，危害大 (C:H, I:H)。建议**立即**评估并升级。