Adobe va treure un pegat fora del seu cicle habitual per tapar un forat a Acrobat i Acrobat Reader que ja s’estava fent servir contra usuaris reals. El defecte, identificat com a CVE-2026-34621, és del tipus prototype pollution dins del motor JavaScript que porta incrustat el lector de PDF. N’hi ha prou amb obrir un document preparat perquè un atacant pugui executar codi amb els permisos de la persona que va obrir el fitxer.
Què és la vulnerabilitat
Prototype pollution és un patró d’error que ve del món JavaScript. Acrobat Reader no és només un visor de pàgines estàtiques: inclou un intèrpret de JavaScript per a formularis, validacions i accions dins del PDF. Quan aquest intèrpret processa propietats d’objectes sense filtrar bé el que rep, un PDF manipulat pot modificar el prototip dels objectes base i alterar el comportament del programa. A partir d’aquí s’encadena fins a aconseguir execució de codi arbitrari en el context de l’usuari, amb CVSS 8.6.
La gravetat real no és només la nota. Això s’explotava en estat salvatge com a mínim des del novembre de 2025, mesos abans que existís cap arranjament. L’investigador Haifei Li ho va descobrir després que arribés una mostra maliciosa a EXPMON, un sistema públic de detecció d’exploits basats en fitxers. És a dir, algú ja tenia un exploit funcional circulant.
A qui afecta
Afecta Acrobat i Acrobat Reader tant a Windows com a macOS, en les branques DC i 2024. Les versions vulnerables són les anteriors a:
- Acrobat DC i Acrobat Reader DC: anterior a 26.001.21411
- Acrobat 2024: anterior a 24.001.30362 a Windows i 24.001.30360 a macOS
Qualsevol que obri PDF de fonts que no controla està al punt de mira. I això és pràcticament tothom: factures, currículums, contractes, adjunts de correu. El PDF continua sent un dels vectors preferits precisament perquè la gent hi confia sense pensar-hi.
Per què importa el catàleg KEV
CISA va afegir CVE-2026-34621 al seu catàleg de vulnerabilitats explotades conegudes (KEV) el 13 d’abril, donant a les agències federals dels EUA fins al 27 d’abril per pegar. Que una cosa entri al KEV no és burocràcia: vol dir que hi ha explotació confirmada i que el risc és present, no teòric. Encara que no siguis una agència federal, el KEV és una bona llista de prioritats per a qualsevol equip.
Com protegir-te
Actualitza Acrobat i Acrobat Reader a les versions corregides ara mateix. Si gestiones un parc d’equips, força-ho per política en comptes de confiar que cada usuari ho faci. Mentre arriba el desplegament, les recomanacions són les de sempre amb els PDF i algunes de concretes d’aquest cas:
- No obris documents d’origen desconegut o inesperat.
- Si pots, desactiva l’execució de JavaScript a Acrobat (Preferències > JavaScript).
- Els equips de seguretat poden vigilar cadenes de User-Agent “Adobe Synchronizer” i bloquejar el trànsit http/https associat, una pista observada en aquesta campanya.
Un lector de PDF no hauria d’executar codi només per obrir un fitxer, però la combinació de JavaScript incrustat i un parser permissiu fa anys que provoca aquesta mena de sustos. Pega i redueix la superfície d’atac desactivant el que no facis servir.