据 nefariousplan.com 的一份报告显示,Adobe Reader 中一个编号为 CVE-20SD-346 621 的严重安全漏洞在补丁发布前,已被黑客利用了长达 136 天。
该漏洞最初于 2025 年 11 月 28 日通过 VirusTotal 上传的一个名为 `Invoice540.pdf` 的文件被发现。在 64 个杀毒引擎中,虽然有 51 个将其识别为普通文档,但仍有 13 个引擎将其标记为可疑文件。
EXPMON 创始人 Haifei Li 在对该样本进行分析后,发现了一种利用 Adobe Reader 未修复漏洞的机制。Li 表示,该样本“充当初始漏洞利用程序,具备收集和泄露各类信息的能力,随后可能进行远程代码执行和沙箱逃逸攻击”。
Li 证实,该漏洞可以调用具有高权限的 Acrobat API,并且在 2025 年 11 月发布的最新版 Adobe Reader 上依然有效。其攻击机制涉及文档打开处理程序中经过混淆的 JavaScript 代码,并将数据外泄至 IP 地址 `169.40.2[.]68:45191`。
2026 年 3 月 23 日,VirusTotal 上出现了使用相同机制的第二个样本。研究人员 Gi7w0rm 观察到,这些 PDF 文件采用了俄语诱饵,并引用了俄罗斯石油和天然气行业的时事新闻。
Adobe 已于 2026 年 4 月 12 日通过发布安全公告 APSB26-26 正式修复了该漏洞。该漏洞被分配了 CVE-2026-34621 编号,CVSS 评分高达 9.6,被归类为严重级别。
