Adobe ha publicado un parche de seguridad crítico para una vulnerabilidad de tipo Prototype Pollution en Acrobat Reader, identificada como CVE-2026-34621 y calificada con un CVSS de 9.6. Este fallo permite a un atacante remoto ejecutar código arbitrario en el contexto del usuario actual si este abre un archivo PDF malicioso. Aunque no se ha confirmado un exploit público en el momento de la publicación, la severidad extrema obliga a una actuación inmediata por parte de todos los administradores de sistemas y usuarios finales.
| CVE ID | CVE-2026-34621 |
| Severidad (CVSS) | 9.6 – CRÍTICA |
| Vector CVSS | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Productos afectados | Adobe Acrobat Reader versión 24.001.30356 y anteriores, versión 26.001.21367 y anteriores |
| Exploit público | No |
| Fecha publicación | 11 de abril de 2026 |
Puntos clave sobre la vulnerabilidad CVE-2026-34621
- Naturaleza del fallo: Se trata de una contaminación de prototipos (Prototype Pollution) en el motor JavaScript de Acrobat Reader.
- Vector de ataque: Requiere interacción del usuario, que debe abrir un archivo PDF especialmente manipulado.
- Impacto: Ejecución de código arbitrario en el contexto del usuario actual, lo que puede derivar en robo de datos, instalación de malware o toma de control del sistema.
- Versiones vulnerables: Afecta a las ramas 24.x y 26.x hasta las versiones específicas mencionadas. Las ediciones para Windows y macOS son las principales implicadas.
- Estado del parche: Adobe ha lanzado actualizaciones corregidas. La instalación debe ser prioritaria.
Sistemas y versiones afectadas por CVE-2026-34621
La vulnerabilidad se concentra en las versiones continuas (Continuous Track) de Adobe Acrobat Reader DC y Acrobat Reader 2020. La siguiente tabla detalla las versiones específicas vulnerables y las versiones parcheadas correspondientes, según el boletín de seguridad APSB26-43 de Adobe.
| Producto | Versiones vulnerables | Versión parcheada (mínima) |
|---|---|---|
| Adobe Acrobat Reader DC (Continuous Track) | Versiones 24.001.30356 y anteriores | 24.001.30357 o superior |
| Adobe Acrobat Reader 2020 (Classic Track) | Versiones 26.001.21367 y anteriores | 26.001.21368 o superior |
Para verificar la versión instalada en Windows, abrid Acrobat Reader y navegad a Ayuda → Acerca de Adobe Acrobat Reader DC. En macOS, el proceso es similar. Cualquier versión igual o inferior a las listadas debe considerarse en riesgo.
El mecanismo de Prototype Pollution en Acrobat Reader
El ataque de Prototype Pollution explota la forma en que JavaScript maneja la herencia de objetos. Al manipular atributos de un objeto base (prototype), un atacante puede inyectar propiedades maliciosas que alteran el comportamiento de la aplicación, llegando a corromper la memoria y permitiendo la ejecución de código. En el contexto de Acrobat Reader, un PDF malicioso puede contener scripts diseñados para contaminar los prototipos utilizados por el visor, desbordando los controles de seguridad.
Cómo parchear CVE-2026-34621: guía paso a paso
La remediación exige actualizar Acrobat Reader a la versión corregida. Adobe suele distribuir los parches a través de su mecanismo de actualización automática, pero en entornos corporativos o por precaución, recomendamos una instalación manual.
Actualización automática (recomendada para usuarios individuales)
El propio software debe notificaros de la actualización. Si no es así, forzad la comprobación:
- Abrid Adobe Acrobat Reader DC.
- Id a Ayuda → Buscar actualizaciones.
- Si encuentra una actualización, seguid las instrucciones para instalarla.
- Reiniciad la aplicación tras la instalación.
Actualización manual (para administradores de sistemas)
Descargad el instalador más reciente directamente desde el sitio oficial de Adobe. Para garantizar la integridad, usad siempre el enlace desde la página de seguridad de Adobe:
- Visitad el boletín APSB26-43 de Adobe.
- Buscad el enlace de descarga para vuestro sistema operativo (Windows 64-bit, Windows 32-bit, macOS).
- Ejecutad el instalador descargado. Aseguraos de que todas las instancias de Acrobat Reader están cerradas.
- Durante la instalación, seleccionad la opción para «Actualizar» la versión existente.
- Tras finalizar, verificad la versión instalada como se indicó anteriormente.
En entornos empresariales con gestión centralizada (como SCCM o Intune), podéis empaquetar el instalador offline y distribuirlo mediante vuestras herramientas habituales. El instalador offline para Windows suele tener un nombre como AcroRdrDC2400130357_en_US.exe (la numeración puede variar).
Medidas adicionales de mitigación
Si, por cualquier razón, no podéis aplicar el parche de inmediato, implementad estas contramedidas para reducir la superficie de ataque. Recordad que no sustituyen a la actualización, pero pueden ganaros tiempo.
Deshabilitar JavaScript en Acrobat Reader
Dado que la explotación se basa en JavaScript, desactivarlo previene el ataque, aunque limita algunas funcionalidades interactivas de los PDF:
- En Acrobat Reader, id a Edición → Preferencias.
- Seleccionad JavaScript en el panel de la izquierda.
- Desmarcad la opción «Habilitar JavaScript».
- Haced clic en Aceptar.
Implementar políticas de restricción de archivos
Usad herramientas de seguridad perimetral o de endpoint para bloquear la apertura de archivos PDF de fuentes no confiables. Podéis configurar reglas en vuestro antivirus o EDR para escanear y cuarentenar PDFs que contengan scripts complejos. Además, considerad la posibilidad de utilizar visores PDF alternativos en modo sandbox para tareas de bajo riesgo, aunque esto no es una solución permanente.
Aplicar el principio de mínimo privilegio
Aseguraos de que los usuarios no ejecutan Acrobat Reader con privilegios de administrador. En un entorno corporativo, esto limita significativamente el daño potencial de una explotación exitosa, confinando la ejecución de código al contexto de usuario estándar.
- Verificad que la versión instalada es 24.001.30357 o superior (para Continuous Track) o 26.001.21368 o superior (para Classic Track).
- Realizad un escaneo completo del sistema con herramientas antimalware actualizadas para descartar compromisos previos.
- Revisad los logs de aplicación y sistema en busca de intentos de explotación o comportamiento anómalo alrededor del momento de la actualización.
- Consultad la referencia oficial en el NVD (CVE-2026-34621) y el advisory de Adobe (APSB26-43) para cualquier actualización posterior.
Referencias y recursos oficiales
- NVD – CVE-2026-34621 — Base de datos nacional de vulnerabilidades (NIST)
- Referencia: helpx.adobe.com
Recursos y fuentes oficiales:
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.