CVE-2026-34621

Nome do Software Vulnerável e Versões Afetadas Acrobat DC versões anteriores a 26.001.21411 Acrobat Reader DC versões anteriores a 26.001.21411 Acrobat 2024 (versões afetadas não especificadas)

Descrição Uma Modificação Impropriamente Controlada de Atributos de Protótipo de Objeto, também conhecida como Prototype Pollution, existe no mecanismo JavaScript do Adobe Acrobat e Reader. Este problema ocorre devido ao manuseio inseguro de propriedades de objetos em APIs privilegiadas, permitindo que um invasor polua o Object.prototype base e redirecione o fluxo de execução do processo. Isso pode levar à execução de código arbitrário no contexto do usuário atual e, potencialmente, resultar na tomada total do sistema. A falha está especificamente ligada à função util.readFileIntoStream(), que pode ser usada para ler arquivos arbitrários, e à função RSS.addFeed(), que foi reaproveitada como um canal de comando e controle bidirecional para exfiltrar dados e receber payloads adicionais. A exploração requer que a vítima abra um arquivo PDF maliciosamente elaborado, que pode ser acionado via e-mail, downloads da web ou painéis de visualização em aplicativos como Outlook ou macOS Finder. Aproximadamente 600 milhões de instalações ativas em todo o mundo foram potencialmente afetadas. O problema tem sido explorado ativamente por grupos APT desde dezembro de 2025 para ataques de espionagem e fingerprinting.

Recomendações Atualize o Acrobat DC e o Acrobat Reader DC para as versões 26.001.21411 ou posteriores. Como solução temporária, navegue até Preferências > JavaScript e desmarque Ativar JavaScript do Acrobat para desativar o principal vetor de ataque.