Una falla de seguridad crítica en Adobe Reader, identificada como CVE-20SD-34621, fue explotada activamente durante 136 días antes de que se publicara un parche, según informa el sitio nefariousplan.com.
La vulnerabilidad se detectó por primera vez a través de una carga en VirusTotal el 28 de noviembre de 2025, mediante un archivo llamado `Invoice540.pdf`. Aunque 51 de los 64 motores antivirus analizaron el archivo como un documento estándar, 13 de ellos lo marcaron como sospechoso.
Haifei Li, fundador de EXPMON, analizó la muestra e identificó un mecanismo que aprovechaba vulnerabilidades no parcheadas en Adobe Reader. Li afirmó que la muestra "actúa como un exploit inicial con la capacidad de recopilar y filtrar diversos tipos de información, seguido potencialmente de la ejecución de código remoto y exploits de escape de sandbox".
Li confirmó que el exploit podía ejecutar APIs con privilegios de Acrobat y que funcionaba en la versión más reciente de Adobe Reader disponible en noviembre de 2025. El mecanismo utilizaba JavaScript ofuscado dentro del controlador de apertura del documento, con una filtración de datos dirigida a la dirección IP `169.40.2[.]68:45191`.
El 23 de marzo de 2026, apareció una segunda muestra en VirusTotal utilizando el mismo mecanismo. El investigador Gi7w0rm observó que estos PDF utilizaban señuelos en idioma ruso y hacían referencia a eventos actuales dentro del sector de petróleo y gas en Rusia.
Adobe abordó oficialmente la falla el 12 de abril de 2026, mediante la emisión del aviso de seguridad APSB26-26. La vulnerabilidad recibió la designación CVE-2026-34621 y obtuvo una puntuación CVSS de 9.6, lo que la clasifica como crítica.
