Adobe - CVE-2026-34622

Date de publication :

Il s'agit d'une vulnérabilité dans le moteur JavaScript embarqué d'Adobe Acrobat et Acrobat Reader, par un défaut de contrôle des modifications des attributs du prototype d'objet (Prototype Pollution).

Adobe Acrobat et Acrobat Reader sont les solutions de référence d'Adobe pour la création, la visualisation, l'annotation et la signature de documents PDF sur Windows et macOS.

Un attaquant peut, via un fichier PDF spécialement forgé, altérer les propriétés de l'objet racine Object.prototype, dont les modifications se propagent ensuite à l'ensemble des objets héritants. L'exploitation requiert une interaction utilisateur (ouverture du fichier malveillant). Le scope est modifié (S:C), ce qui indique un impact au-delà du processus Acrobat lui-même.

Elle permet l'exécution de code arbitraire dans le contexte de l'utilisateur courant, avec une atteinte totale à la confidentialité, à l'intégrité et à la disponibilité du système.

CVE-2026-34622

[Score CVSS v3.1 : 8.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-1321 : Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')

Détails sur l'exploitation
•   Vecteur d'attaque : Local
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Acrobat DC et Acrobat Reader DC (Continuous) versions 26.001.21411 et antérieures, Windows et macOS
•   Acrobat 2024 (Classic 2024) versions 24.001.30362 et antérieures sur Windows
•   Acrobat 2024 (Classic 2024) versions 24.001.30360 et antérieures sur macOS

Contournement provisoire

La désactivation de l'exécution JavaScript dans Acrobat Reader (Édition → Préférences → JavaScript → décocher "Activer Acrobat JavaScript") constitue une mesure d'atténuation temporaire, applicable à toutes les branches affectées.

Solutions ou recommandations

•   Acrobat DC et Acrobat Reader DC (Continuous) : version 26.001.21431 et supérieures, Windows et macOS
•   Acrobat 2024 (Classic 2024) : version 24.001.30365 et supérieures, Windows et macOS

Liens