La vulnerabilidad permite ejecución de código arbitrario y fue explotada por un APT con señuelos en ruso. Versiones 26.001.21367 y anteriores requieren actualización inmediata.
Adobe publicó el sábado 11 de abril un parche de emergencia para una vulnerabilidad zero-day crítica en Acrobat y Reader que ha sido explotada activamente en la naturaleza durante al menos cinco meses. La falla, identificada como CVE-2026-34621, permite ejecución arbitraria de código y fue clasificada inicialmente con un CVSS de 9.6, posteriormente ajustado a 8.6 tras revisión del vector de ataque.
El fabricante confirmó en su boletín de seguridad APSB26-43 que la vulnerabilidad ya está siendo explotada en ataques reales, lo que eleva la prioridad de actualización al nivel máximo para organizaciones que utilizan estos productos en entornos corporativos.
La vulnerabilidad se clasifica como una falla de Prototype Pollution bajo el identificador CWE-1321, que ocurre cuando una aplicación no sanitiza adecuadamente las modificaciones a los atributos del prototipo de un objeto. Un atacante puede inyectar propiedades maliciosas manipulando la lógica interna del software, logrando ejecutar código arbitrario dentro del contexto del usuario que abre el documento. Según el vector CVSS 3.1 publicado (AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H), el ataque requiere que la víctima abra un archivo PDF malicioso, pero no necesita privilegios previos ni autenticación. El impacto potencial afecta la confidencialidad, integridad y disponibilidad del sistema comprometido con severidad alta.
Las versiones afectadas incluyen Acrobat DC Continuous 26.001.21367 y anteriores, Acrobat Reader DC Continuous en las mismas versiones, y Acrobat 2024 Classic 24.001.30356 y anteriores, tanto para Windows como para macOS. Adobe ha liberado las versiones parchadas 26.001.21411 para la pista Continuous de Acrobat DC y Reader DC, mientras que los usuarios de Acrobat 2024 Classic deben actualizar a las versiones 24.001.30362 en Windows y 24.001.30360 en macOS.
La actualización puede realizarse desde el menú Ayuda > Buscar actualizaciones dentro de la aplicación, mediante descarga directa desde el centro de descargas de Adobe, o a través de herramientas de despliegue gestionado como SCCM, GPO o Apple Remote Desktop para entornos corporativos.
El investigador Haifei Li, fundador del sistema de detección de exploits EXPMON, fue quien identificó y reportó la vulnerabilidad tras analizar una muestra de exploit PDF sofisticado. Como se documentó previamente en el análisis del zero-day publicado por CiberBlog, el ataque utiliza APIs privilegiadas del motor JavaScript de Acrobat para leer archivos arbitrarios del sistema y exfiltrar datos hacia un servidor de comando y control ubicado en la IP 169.40.2.68, puerto 45191.
Los archivos maliciosos distribuidos en esta campaña contenían señuelos en ruso referenciando eventos del sector petrolero y gasístico, lo que sugiere la participación de un grupo APT con interés específico en esa industria. Muestras del exploit fueron detectadas en VirusTotal desde noviembre de 2025, indicando que la campaña operó silenciosamente durante meses antes de la divulgación.
FUENTE ORIGINAL
Adobe Security Bulletin↗CURADO POR
Santiago Torres