Adobe sacó un parche fuera de su ciclo habitual para tapar un agujero en Acrobat y Acrobat Reader que ya se estaba usando contra usuarios reales. El fallo, identificado como CVE-2026-34621, es del tipo prototype pollution dentro del motor JavaScript que lleva incrustado el lector de PDF. Basta con abrir un documento preparado para que un atacante pueda ejecutar código con los permisos de la persona que abrió el archivo.
Qué es la vulnerabilidad
Prototype pollution es un patrón de error que viene del mundo JavaScript. Acrobat Reader no es solo un visor de páginas estáticas: incluye un intérprete de JavaScript para formularios, validaciones y acciones dentro del PDF. Cuando ese intérprete procesa propiedades de objetos sin filtrar bien lo que le llega, un PDF manipulado puede modificar el prototipo de objetos base y alterar el comportamiento del programa. A partir de ahí se encadena hasta lograr ejecución de código arbitrario en el contexto del usuario, con CVSS 8.6.
La gravedad real no está solo en la nota. Esto se explotaba en estado salvaje al menos desde noviembre de 2025, meses antes de que existiera arreglo. El investigador Haifei Li dio con ello después de que llegara una muestra maliciosa a EXPMON, un sistema público de detección de exploits basados en ficheros. Es decir, alguien ya tenía un exploit funcional circulando.
A quién afecta
Afecta a Acrobat y Acrobat Reader tanto en Windows como en macOS, en las ramas DC y 2024. Las versiones vulnerables son las anteriores a:
- Acrobat DC y Acrobat Reader DC: anterior a 26.001.21411
- Acrobat 2024: anterior a 24.001.30362 en Windows y 24.001.30360 en macOS
Cualquiera que abra PDFs de fuentes que no controla está en el punto de mira. Y eso es prácticamente todo el mundo: facturas, currículums, contratos, adjuntos de correo. El PDF sigue siendo uno de los vectores favoritos precisamente porque la gente confía en él sin pensar.
Por qué importa el catálogo KEV
CISA añadió CVE-2026-34621 a su catálogo de vulnerabilidades explotadas conocidas (KEV) el 13 de abril, dando a las agencias federales de EE. UU. de plazo hasta el 27 de abril para parchear. Que algo entre en el KEV no es burocracia: significa que hay explotación confirmada y que el riesgo es presente, no teórico. Aunque no seas una agencia federal, el KEV es una buena lista de prioridades para cualquier equipo.
Cómo protegerte
Actualiza Acrobat y Acrobat Reader a las versiones corregidas ya mismo. Si gestionas un parque de equipos, fuérzalo por política en lugar de confiar en que cada usuario lo haga. Mientras llega el despliegue, las recomendaciones son las de siempre con los PDF y algunas concretas de este caso:
- No abras documentos de origen desconocido o inesperado.
- Si puedes, desactiva la ejecución de JavaScript en Acrobat (Preferencias > JavaScript).
- Los equipos de seguridad pueden vigilar cadenas de User-Agent “Adobe Synchronizer” y bloquear el tráfico http/https asociado, una pista observada en esta campaña.
Un lector de PDF no debería ejecutar código solo por abrir un archivo, pero la combinación de JavaScript embebido y un parser permisivo lleva años dando este tipo de sustos. Parchea y baja la superficie de ataque desactivando lo que no uses.