Adobe - CVE-2026-34621
Date de publication :
Il s'agit d'une vulnérabilité dans la gestion des attributs de prototype d’objet d’Adobe Acrobat Reader.
Adobe Acrobat Reader est un lecteur de fichiers PDF pour Windows et macOS. Il sert à ouvrir, afficher et manipuler des documents PDF.
Le traitement d’un fichier PDF malveillant peut modifier des propriétés internes de façon non contrôlée dans le contexte de l’application. L’exploitation exige que la victime ouvre le fichier piégé. Le code obtenu s’exécute avec les droits de l’utilisateur courant.
Elle permet une exécution de code arbitraire sur le poste cible.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-1321 : Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Adobe Acrobat Reader DC Continuous versions 26.001.21367 et antérieures sur Windows et macOS,
• Adobe Acrobat 2024 Classic versions 24.001.30356 et antérieures sur Windows et macOS. Cette branche inclut une branche non courante à support classique
• Le bulletin Adobe vise aussi Acrobat DC Continuous 26.001.21367 et antérieures, mais ce produit n’est pas Acrobat Reader.
Solutions ou recommandations
• Adobe Acrobat 2024 Classic versions 24.001.30362 et supérieures sur Windows.
• Adobe Acrobat 2024 Classic versions 24.001.30360 et supérieures sur macOS.