Sun, 12 Apr 2026
← VoltarA Adobe lançou atualizações de emergência para corrigir uma vulnerabilidade crítica de poluição de protótipo no Acrobat Reader. A falha permite a execução remota de código e tem sido explorada ativamente.
A Adobe lançou atualizações de emergência para corrigir uma falha crítica de segurança no Acrobat Reader que está sob exploração ativa. A vulnerabilidade, atribuída ao identificador CVE CVE-2026-34621, carrega uma pontuação CVSS de 8,6 em 10,0. A exploração bem-sucedida da falha pode permitir que um invasor execute código malicioso nas instalações afetadas. Foi descrito como um caso de poluição de protótipo que pode resultar na execução arbitrária de código.
A poluição do protótipo refere-se a uma vulnerabilidade de segurança do JavaScript que permite que um invasor manipule objetos e propriedades de um aplicativo. O problema afeta os seguintes produtos e versões para Windows e macOS - Acrobat DC versões 26.001.21367 e anteriores (corrigido em 26.001.21411) Acrobat Reader DC versões 26.001.21367 e anteriores (corrigido em 26.001.21411) Acrobat 2024 versões 24.001.30356 e anteriormente (corrigido em 24.001.30362 para Windows e 24.001.30360 para macOS) A Adobe reconheceu que está "ciente de que CVE-2026-34621 está sendo explorado em estado selvagem". O desenvolvimento ocorre dias depois que o pesquisador de segurança e fundador da EXPMON, Haifei Li, divulgou detalhes da exploração de dia zero da falha para executar código JavaScript malicioso ao abrir documentos PDF especialmente criados por meio do Adobe Reader. Há evidências que sugerem que a vulnerabilidade pode estar sob exploração desde dezembro de 2025.
“Parece que a Adobe determinou que o bug pode levar à execução arbitrária de código – não apenas a um vazamento de informações”, disse EXPMON em um post no X. “Isso se alinha com nossas descobertas e as de outros pesquisadores de segurança nos últimos dias.” (A história foi atualizada após a publicação para refletir a mudança na pontuação CVSS de 9,6 para 8,6. Em uma revisão de seu comunicado em 12 de abril de 2026, a Adobe disse que ajustou o vetor de ataque de Rede (AV:N) para Local (AV:L).)