Adobe Acrobat Reader 漏洞可致攻击者执行任意代码

Adobe 于 2026 年 4 月 14 日发布了一份重要安全公告，以解决 Windows 及 macOS 平台上 Adobe Acrobat 和 Reader 中存在的多个漏洞。

根据官方通报，成功利用这些漏洞可能致使攻击者在目标系统上执行任意代码或读取任意文件。

虽然这些威胁被评定为高危等级，但 Adobe 确认目前尚未发现任何在野主动利用案例。

在文档阅读器软件中，任意代码执行漏洞尤为危险，因为威胁行为者经常利用钓鱼邮件诱骗受害者打开包含恶意代码的文件。

一旦恶意 PDF 被打开，攻击者便可能在后台悄然安装恶意软件、窃取敏感数据，或是在企业网络内部建立据点。

Adobe Acrobat Reader 漏洞详情

本次安全更新修复了两个具体漏洞。两者均被归类为对象原型属性修改控制不当，通常称为原型污染（CWE-1321）。

这类漏洞发生在脚本操纵标准对象行为时，使得攻击者能够绕过安全控制机制。

安全公告中列出了以下技术细节：

CVE-2026-34622：由 Zscaler 旗下安全研究员 YH 报告的严重漏洞，CVSS 基础评分高达 8.6，可在当前用户权限上下文中执行任意代码。

CVE-2026-34626：由研究员 greenapple 发现的重要漏洞，CVSS 基础评分为 6.3，可能导致任意文件系统读取并暴露本地敏感数据。

这些安全漏洞影响 Windows 和 macOS 上多个 Adobe PDF 软件产品分支。

运行过时版本软件的用户一旦打开特制的恶意文档，就可能面临系统被入侵的风险。

受影响的产品版本包括：

Acrobat DC 与 Acrobat Reader DC（连续版本分支）：Windows 和 macOS 上的 26.001.21411 及更早版本。

Acrobat 2024（经典版本分支）：Windows 上的 24.001.30362 及更早版本。

Acrobat 2024（经典版本分支）：macOS 上的 24.001.30360 及更早版本。

缓解措施

Adobe 将本次更新评定为优先级 2，意味着虽然尚无已知在野利用，但仍应尽快部署补丁以防患于未然。

Adobe 强烈建议将软件升级至最新修补版本：连续版本分支更新至 26.001.21431，经典 2024 分支更新至 24.001.30365。

用户与 IT 管理员可通过以下方式保护其系统环境：

打开 Adobe 应用程序，通过导航至帮助菜单并选择检查更新，手动触发补丁安装。

若已启用自动更新，软件将在后台自动完成补丁安装，无需用户手动干预。

直接从 Adobe Acrobat Reader 官方下载中心获取最新完整安装程序。

在企业受管环境中，使用标准管理工具部署更新，例如 Windows 平台上的 SCCM 或 macOS 平台上的 Apple Remote Desktop。