Faille critique dans Adobe Acrobat Reader exploitée : CVE-2026-34621 sous attaque active
**Adobe** a publié des mises à jour d'urgence pour corriger une vulnérabilité critique dans **Acrobat Reader**, **CVE-2026-34621**, qui fait actuellement l'objet d'une exploitation active. Cette faille, un problème de pollution de prototype, pourrait permettre aux attaquants d'exécuter du code arbitraire sur les systèmes affectés.
**Adobe** a publié des mises à jour d'urgence pour corriger une faille de sécurité critique dans **Acrobat Reader** qui fait actuellement l'objet d'une exploitation active dans la nature.
La vulnérabilité, identifiée par l'identifiant **CVE-2026-34621**, a un score CVSS de 8,6 sur 10,0. L'exploitation réussie de cette faille pourrait permettre à un attaquant d'exécuter du code malveillant sur les installations affectées.
Elle a été décrite comme un cas de pollution de prototype qui pourrait entraîner une exécution de code arbitraire. La pollution de prototype fait référence à une vulnérabilité de sécurité **JavaScript** qui permet à un attaquant de manipuler les objets et les propriétés d'une application.
Le problème affecte les produits et versions suivants pour Windows et macOS :
* Acrobat DC versions 26.001.21367 et antérieures (Corrigé dans la version 26.001.21411)
* Acrobat Reader DC versions 26.001.21367 et antérieures (Corrigé dans la version 26.001.21411)
* Acrobat 2024 versions 24.001.30356 et antérieures (Corrigé dans la version 24.001.30362 pour Windows et 24.001.30360 pour macOS)
**Adobe** a reconnu être "conscient que **CVE-2026-34621** est exploité dans la nature".
Ce développement intervient quelques jours après que le chercheur en sécurité et fondateur d'EXPMON, **Haifei Li**, a divulgué les détails de l'exploitation d'une zero-day de la faille pour exécuter du code **JavaScript** malveillant lors de l'ouverture de documents PDF spécialement conçus via **Adobe Reader**. Des preuves suggèrent que la vulnérabilité pourrait être exploitée depuis décembre 2025.
"Il semble qu'**Adobe** ait déterminé que le bug peut conduire à une exécution de code arbitraire, et pas seulement à une fuite d'informations", a déclaré EXPMON dans un post sur X. "Cela correspond à nos conclusions et à celles d'autres chercheurs en sécurité au cours des derniers jours."
### Mise à jour
La **Cybersecurity and Infrastructure Security Agency (CISA)** des États-Unis a ajouté le **CVE-2026-34621** à son catalogue de vulnérabilités connues exploitées (KEV) le 13 avril 2026, obligeant les agences du Federal Civilian Executive Branch (FCEB) à appliquer les correctifs avant le 27 avril 2026.
*(L'article a été mis à jour après publication pour refléter le changement du score CVSS de 9,6 à 8,6. Dans une révision de son avis le 12 avril 2026, **Adobe** a indiqué avoir ajusté le vecteur d'attaque de Réseau (AV:N) à Local (AV:L).)*