sanchit-saini/acrobat-reader-escape

# Adobe Reader JS 沙箱逃逸 — POC 针对 macOS 上 Adobe Acrobat/Reader 中三个链式漏洞的概念验证代码， 由 STAR Labs 于 2026 年 4 月披露。 ## 漏洞详情 | CVE | 描述 | 已在以下版本修复 | |-----|-------------|------------| | CVE-2026-34621 | 通过协作登录 (`SilentDocCenterLogin`) 实现原型污染 | 26.001.21368 | | CVE-2026-34622 | 通过对话框按钮处理程序 (`ANFancyAlertImpl`) 进行 Eval 注入 | 26.001.21412 | | CVE-2026-34626 | 对象混淆，用于提升至受信任执行上下文 | 26.001.21412 | **受影响版本：** macOS 和 Windows 上的 Acrobat DC / Reader DC / Acrobat 2024 ≤ 26.001.21411。 **补丁发布时间：** 2026 年 4 月 12-14 日。 完整分析报告：https://starlabs.sg/blog/2026/04-three-bugs-walk-into-a-pdf-prototype-pollution-served-cold/ ## 工作原理 1. `ANFancyAlertImpl` 未经清理即评估按钮标签 — 注入任意 JS (CVE-2026-34622) 2. 注入的代码污染 `Object.prototype.swConn` 以劫持 `SilentDocCenterLogin` 调用链 (CVE-2026-34621) 3. 调用链到达 `app.trustedFunction`，将任意函数提升至特权上下文 (CVE-2026-34626) 4. 特权函数调用 `app.beginPriv()` + `util.readFileIntoStream()` — 沙箱逃逸，可读取任意文件 ## 构建 ``` pip3 install pypdf make build # writes out/malicious-poc.pdf make clean # removes out/ ``` 使用有漏洞的 Reader 版本打开生成的 PDF 文件以触发利用程序。 ## 披露 漏洞由 EXPMON 报告给 Adobe；STAR Labs 对其进行了独立分析和链接利用。 此 POC 在补丁公开发布后，为教育和防御目的而发布。

标签：Adobe Acrobat漏洞, Conpot, CVE漏洞, JavaScript沙箱逃逸, macOS安全, PDF漏洞, Web报告查看器, Windows安全, 代码执行, 协议分析, 原型污染攻击, 客户端安全, 恶意PDF, 搜索语句（dork）, 教育工具, 文件读取漏洞, 权限提升, 概念验证, 沙箱规避, 自定义脚本, 软件漏洞, 逆向工具, 防御研究