Falla crítica en Adobe Acrobat Reader explotada activamente: CVE-2026-34621 bajo ataque
**Adobe** ha emitido actualizaciones de emergencia para abordar una vulnerabilidad crítica en **Acrobat Reader**, **CVE-2026-34621**, que actualmente está siendo explotada activamente. Esta falla, un problema de contaminación de prototipos, podría permitir a los atacantes ejecutar código arbitrario en los sistemas afectados.
**Adobe** ha lanzado actualizaciones de emergencia para corregir una falla de seguridad crítica en **Acrobat Reader** que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, identificada con el identificador **CVE-2026-34621**, tiene una puntuación CVSS de 8.6 sobre 10.0. La explotación exitosa de la falla podría permitir a un atacante ejecutar código malicioso en las instalaciones afectadas.
Ha sido descrita como un caso de contaminación de prototipos que podría resultar en la ejecución de código arbitrario. La contaminación de prototipos se refiere a una vulnerabilidad de seguridad en **JavaScript** que permite a un atacante manipular los objetos y propiedades de una aplicación.
El problema afecta a los siguientes productos y versiones tanto para Windows como para macOS:
* Acrobat DC versiones 26.001.21367 y anteriores (Corregido en 26.001.21411)
* Acrobat Reader DC versiones 26.001.21367 y anteriores (Corregido en 26.001.21411)
* Acrobat 2024 versiones 24.001.30356 y anteriores (Corregido en 24.001.30362 para Windows y 24.001.30360 para macOS)
**Adobe** reconoció que está "al tanto de que **CVE-2026-34621** está siendo explotada en la naturaleza".
El desarrollo ocurre días después de que el investigador de seguridad y fundador de EXPMON, **Haifei Li**, revelara detalles de la explotación de una vulnerabilidad zero-day de la falla para ejecutar código malicioso de **JavaScript** al abrir documentos PDF especialmente diseñados a través de **Adobe Reader**. Existe evidencia que sugiere que la vulnerabilidad podría haber estado bajo explotación desde diciembre de 2025.
"Parece que **Adobe** ha determinado que el error puede conducir a la ejecución de código arbitrario, no solo a una fuga de información", publicó EXPMON en X. "Esto se alinea con nuestros hallazgos y los de otros investigadores de seguridad en los últimos días".
### Actualización
La **Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA)**, el 13 de abril de 2026, agregó **CVE-2026-34621** a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 27 de abril de 2026.
*(La historia se actualizó después de su publicación para reflejar el cambio en la puntuación CVSS de 9.6 a 8.6. En una revisión de su aviso el 12 de abril de 2026, **Adobe** indicó que ajustó el vector de ataque de Red (AV:N) a Local (AV:L).)*