A vulnerabilidade CVE-2026-34621 permite execução arbitrária de código a partir de PDFs especialmente criados e afeta instalações do Acrobat e do Acrobat Reader no Windows e no macOS.
| Componente | Adobe Acrobat DC, Acrobat Reader DC e Acrobat 2024 em instalações Windows e macOS afetadas pelas versões indicadas no boletim. |
| Vetor | Abertura local de documentos PDF especialmente criados no Adobe Reader, com acionamento de JavaScript malicioso associado a poluição de protótipo. |
| Impacto | Exploração bem-sucedida pode resultar em execução arbitrária de código em instalações vulneráveis; a falha recebeu CVSS 8.6 após revisão do vetor de ataque para local. |
| Prioridade | Aplicar as atualizações corrigidas imediatamente, priorizando estáções que manipulam PDFs externos, caixas de entrada, fluxos de atendimento e ambientes com histórico de recebimento de anexos. |
| Versões | Acrobat DC e Acrobat Reader DC 26.001.21367 e anteriores foram corrigidos em 26.001.21411; Acrobat 2024 24.001.30356 e anteriores foi corrigido em 24.001.30362 para Windows e 24.001.30360 para macOS. |
| Exploração | Há reconhecimento de exploração ativa e indícios de atividade desde dezembro de 2025, com inclusão da vulnerabilidade no catálogo KEV em 13 de abril de 2026. |
A Adobe publicou atualizações emergenciais para corrigir a vulnerabilidade CVE-2026-34621, uma falha crítica no Acrobat Reader e em produtos relacionados do Acrobat que já estava sendo explorada em ambiente real. O problema foi classificado com pontuação CVSS 8.6 e está associado à possibilidade de execução arbitrária de código em instalações vulneráveis. A correção cobre produtos no Windows e no macOS, o que amplia a prioridade para ambientes corporativos que usam leitores de PDF como parte de fluxos de trabalho de e-mail, atendimento, jurídico, financeiro, compras, recursos humanos e suporte técnico.
A falha é descrita como um caso de poluição de protótipo, uma classe de vulnerabilidade em JavaScript na qual propriedades herdadas por objetos podem ser manipuladas de forma indevida. No caso reportado, a exploração foi vinculada à abertura de documentos PDF especialmente criados no Adobe Reader, com execução de JavaScript malicioso durante o processamento do arquivo. O detalhe mais importante para defesa é que o vetor foi revisado para local, não rede: a condição relevante é fazer o conteúdo malicioso chegar ao usuário ou ao fluxo que abre o PDF em um aplicativo vulnerável.
A existência de exploração ativa muda a prioridade operacional. Está não é apenas uma correção preventiva para uma falha teórica: há evidência de uso antes da publicação do ajuste, e a vulnerabilidade foi adicionada ao catálogo de vulnerabilidades conhecidamente exploradas da CISA em 13 de abril de 2026. Para órgãos federais civis dos Estados Unidos, a data de aplicação exigida foi 27 de abril de 2026; para demais organizações, essa data funciona como referência de urgência, não como limite aceitável para postergar a atualização.
O fluxo de exploração descrito começa com um documento PDF especialmente criado para acionar comportamento malicioso quando aberto em uma instalação vulnerável do Adobe Reader. O contexto indica uso de JavaScript dentro do processamento do PDF e caracteriza a falha como poluição de protótipo. Em termos defensivos, isso significa que a cadeia não depende necessariamente de autenticação em um serviço remoto exposto na internet; ela depende da interação local com um arquivo que chega ao endpoint por e-mail, download, compartilhamento corporativo, sistema de chamados, repositório documental ou outro canal de entrega de anexos.
A poluição de protótipo é relevante porque permite interferir em propriedades e objetos usados por código JavaScript, alterando pressupostos internos do ambiente de execução. Quando esse tipo de condição aparece em um leitor de PDF com suporte a JavaScript, a superfície de ataque deixa de ser apenas o conteúdo visual do documento e passa a incluir a lógica interpretada durante a abertura ou manipulação do arquivo. O impacto confirmado no contexto é execução arbitrária de código, portanto a defesa deve tratar PDFs recebidos de fora da organização como objetos ativos, não como conteúdo estático.
A revisão da pontuação de 9.6 para 8.6 decorreu da mudança do vetor de ataque de rede para local. Essa diferença não reduz a urgência em ambientes onde PDFs externos são comuns, mas ajuda a calibrar o modelo de ameaça: o atacante precisa induzir a abertura ou processamento local do arquivo em uma versão vulnerável. Isso desloca parte do controle para camadas como gateway de e-mail, inspeção de anexos, isolamento de documentos, políticas de abertura protegida, bloqueios de JavaScript em PDF quando aplicáveis e telemetria de endpoint ligada ao processo do leitor.
A superfície afetada inclui Acrobat DC, Acrobat Reader DC e Acrobat 2024 em Windows e macOS dentro dos intervalos de versão informados. Acrobat DC e Acrobat Reader DC nas versões 26.001.21367 e anteriores foram corrigidos na versão 26.001.21411. Acrobat 2024 nas versões 24.001.30356 e anteriores recebeu correção na versão 24.001.30362 para Windows e 24.001.30360 para macOS. A inventariação precisa é essencial porque muitas organizações mantêm combinações de Acrobat pago, Reader gratuito, instalações gerenciadas por imagem corporativa e atualizações manuais em estáções fora do domínio.
Os sistemas mais expostos são endpoints de usuários que recebem grande volume de anexos ou documentos externos. Áreas que processam currículos, contratos, cotações, notas, formulários, comprovações, documentos jurídicos ou materiais enviados por terceiros devem ser priorizadas. Servidores de automação documental também merecem revisão se abrirem ou renderizarem PDFs usando componentes afetados, embora o material analisado descreva exploração por abertura de documentos no Adobe Reader e não forneça dados para afirmar comprometimento de serviços automatizados específicos.
A existência de indícios de exploração desde dezembro de 2025 amplia a janela de investigação. Mesmo após a atualização, organizações com alta exposição a anexos PDF devem procurar sinais retroativos de abertura de documentos suspeitos e de comportamento anômalo filho do processo do leitor. O objetivo não é assumir comprometimento em massa, mas validar se houve execução incomum associada ao processamento de PDF durante o período em que versões vulneráveis estavam presentes.
- Acrobat DC 26.001.21367 e anteriores, com correção em 26.001.21411.
- Acrobat Reader DC 26.001.21367 e anteriores, com correção em 26.001.21411.
- Acrobat 2024 24.001.30356 e anteriores, com correção em 24.001.30362 no Windows e 24.001.30360 no macOS.
- Estáções que recebem PDFs externos por e-mail, portais, sistemas de atendimento, compartilhamentos e downloads devem ter prioridade de verificação.
A caça deve começar pelo inventário de versões e pela reconstrução de exposição. O time de segurança precisa identificar endpoints que executavam versões vulneráveis no período anterior à correção, cruzar essa lista com usuários que recebem documentos externos e revisar eventos de abertura de PDF quando houver telemetria disponível. Como o vetor confirmado envolve abertura local de arquivo, sinais úteis tendem a aparecer em EDR, logs de criação de processo, trilhas de e-mail, histórico de download, quarentenas de gateway e alertas de análise de anexos.
No endpoint, a atenção deve se concentrar em comportamento incomum associado ao processo do Adobe Reader ou do Acrobat após a abertura de documentos. O contexto não fornece nomes de processos filhos, hashes, domínios, arquivos ou infraestrutura de comando e controle, portanto não é adequado criar indicadores artificiais. A abordagem correta é comportamental: procurar execução inesperada iniciada pelo leitor de PDF, alterações anômalas logo após abertura de anexos, falhas do aplicativo correlacionadas a PDFs recebidos de fora e eventos de proteção que mencionem JavaScript em documento.
Em e-mail e perímetro, a investigação deve buscar campanhas ou mensagens que entregaram PDFs pouco antes de alertas no endpoint. Anexos enviados a múltiplos destinatários, mensagens com remetentes externos incomuns, arquivos PDF bloqueados por análise dinâmica e documentos que geraram detecção por comportamento ativo merecem correlação. Em ambientes com sandbox de anexos, o valor está em comparar a execução observada com a versão do leitor presente no endpoint, porque um arquivo que parece inofensivo em uma configuração pode se comportar de modo diferente em instalações vulneráveis.
- Inventário de instalações com Acrobat DC ou Acrobat Reader DC 26.001.21367 e anteriores.
- Inventário de instalações com Acrobat 2024 24.001.30356 e anteriores em Windows ou macOS.
- Eventos de abertura de PDF seguidos por execução incomum, alerta de EDR, falha do aplicativo ou atividade de JavaScript em documento.
- Mensagens externas com anexos PDF recebidas por usuários de áreas que processam documentos de terceiros.
- Alertas de sandbox, gateway de e-mail ou EDR correlacionados à janela de possível exploração desde dezembro de 2025.
A primeira medida é aplicar as versões corrigidas em todos os sistemas afetados. A correção esperada é 26.001.21411 para Acrobat DC e Acrobat Reader DC, 24.001.30362 para Acrobat 2024 no Windows e 24.001.30360 para Acrobat 2024 no macOS. A atualização deve ser validada por inventário, não apenas por política declarada, porque leitores de PDF costumam existir em estáções fora do ciclo principal de gestão, máquinas de fornecedores, imagens antigas, hosts de laboratório, computadores de atendimento e dispositivos que recebem atualização por canal separado.
Enquanto a atualização é concluída, a exposição deve ser reduzida nos pontos de entrada de documentos. Gateways de e-mail e ferramentas de colaboração devem reforçar análise de PDFs externos, especialmente quando o remetente é desconhecido ou o arquivo chega a áreas com alto volume de processamento documental. Quando a política corporativa permitir, a execução de JavaScript em PDFs deve ser restringida e a abertura de anexos externos deve ocorrer em ambientes isolados. Essas medidas não substituem a correção, mas reduzem a probabilidade de acionamento da falha em estáções ainda vulneráveis.
Depois da correção, a resposta deve incluir validação retroativa. Como há indicação de exploração anterior à publicação da atualização, equipes de segurança devem revisar telemetria histórica de endpoints vulneráveis, priorizando usuários expostos a PDFs externos. Caso sejam encontrados sinais compatíveis com execução anômala a partir do leitor, o processo de contenção deve seguir o fluxo padrão: isolar o endpoint, preservar artefatos relevantes, revisar documentos recebidos, analisar processos e persistências observadas, verificar credenciais usadas na máquina e confirmar se houve qualquer atividade posterior que exceda o impacto diretamente descrito pela vulnerabilidade.
- Atualizar Acrobat DC e Acrobat Reader DC para 26.001.21411 ou versão posterior disponível no canal oficial de atualização.
- Atualizar Acrobat 2024 para 24.001.30362 no Windows e 24.001.30360 no macOS, ou versão posterior aplicável.
- Priorizar estáções que recebem PDFs externos por e-mail, portais, sistemas de atendimento e compartilhamentos de terceiros.
- Reforçar análise de anexos PDF e isolamento de documentos até que o inventário confirme a correção completa.
- Executar revisão retroativa de telemetria desde dezembro de 2025 em endpoints que permaneceram vulneráveis e expostos.
0 Comentários