Adobe ha publicado actualizaciones de emergencia para corregir una vulnerabilidad crítica en Acrobat Reader que está siendo explotada activamente en entornos reales. Esta falla permite la ejecución remota de código malicioso, afectando a las instalaciones vulnerables del software. Se recomienda a los usuarios implementar las correcciones sin demora para minimizar riesgos.
La vulnerabilidad identificada como CVE-2026-34621 consiste en un fallo de seguridad crítico del tipo Prototype Pollution (Polución de Prototipos) que reside en el motor de ejecución de JavaScript de Adobe Acrobat y Reader. Este tipo de vulnerabilidad permite que un atacante, mediante el uso de documentos PDF especialmente manipulados, inyecte propiedades maliciosas en los prototipos de objetos base de la aplicación. Al alterar la estructura fundamental de estos objetos, el flujo de ejecución de la aplicación se ve comprometido, lo que permite eludir las restricciones de seguridad del sandbox y alcanzar la ejecución arbitraria de código (ACE) en el contexto del usuario actual.
Adobe ha confirmado que este fallo está siendo explotado de forma activa (zero-day), con evidencias que sugieren actividad maliciosa desde diciembre de 2025.
CVE y severidad
| CVE ID | Fabricante | Producto | Severidad | CVSS |
|---|---|---|---|---|
| CVE-2026-34621 | Adobe | Acrobat Reader | Crítica | 8.6 |
Productos afectados
| Producto | Versiones Vulnerables | Versión corregida |
| Acrobat DC | 26.001.21367 y anteriores | 26.001.21411 |
| Acrobat Reader DC | 26.001.21367 y anteriores | 26.001.21411 |
| Acrobat 2024 (Windows) | 24.001.30356 y anteriores | 24.001.30362 |
| Acrobat 2024 (macOS) | 24.001.30356 y anteriores | 24.001.30360 |
Solución
Actualizar a la última versión disponible de Acrobat Reader que incluye el parche de seguridad para CVE-2026-34621.
Recomendaciones
Priorizar la aplicación inmediata de la actualización para reducir la exposición a ataques. Forzar la búsqueda de actualizaciones en Adobe Acrobat (Ayuda > Buscar actualizaciones).