Adobe Acrobat Reader CVE-2026-34621: prototype pollution zero-day sfruttato da mesi via PDF malevoli

La CVE-2026-34621 (CVSS 8.6) è una vulnerabilità di tipo Prototype Pollution nel motore JavaScript di Adobe Acrobat Reader, classificata come zero-day attivamente sfruttato in the wild. Il ricercatore Haifei Li di EXPMON ha per primo individuato e analizzato campioni malevoli risalenti al 28 novembre 2025, confermando che la campagna era in corso da mesi prima della divulgazione pubblica. La tecnica sfrutta l'assenza di validazione dell'input sugli attributi del prototipo degli oggetti JavaScript: il PDF malevolo inietta proprietà nel prototipo base da cui ereditano gli altri oggetti, alterando il comportamento dell'applicazione a livello globale.

L'exploit, nella forma osservata in the wild, opera in modalità fingerprinting: abusa delle API privilegiate di Acrobat util.readFileIntoStream() per leggere file locali e RSS.addFeed() per esfiltrarli verso server remoti. Questo consente agli attaccanti di profilare la vittima — sistema operativo, file presenti, configurazione — e decidere selettivamente se proseguire con un secondo stadio più distruttivo, come RCE o sandbox escape. Secondo The Hacker News, il vettore iniziale è la semplice apertura di un PDF; non è richiesta alcuna ulteriore interazione. Adobe ha rilasciato la patch in APSB26-43 il 12 aprile e la CISA ha aggiunto la CVE al catalogo KEV il 13 aprile con scadenza al 27 aprile per le agenzie federali. Fino all'applicazione della patch, SecPod raccomanda di monitorare il traffico contenente lo user-agent string "Adobe Synchronizer" come indicatore di compromissione.

Versioni affette: Acrobat/Reader DC ≤ 26.001.21367 (Windows/macOS); Acrobat 2024 ≤ 24.001.30356.
Azione raccomandata: aggiornare immediatamente ad Acrobat/Reader DC 26.001.21411 o Acrobat 2024 24.001.30362 (Win) / 24.001.30360 (Mac).

Fonti: ACN, The Hacker News, LinkedIn