CVE-2026-47937: Sårbarhed i Adobe Acrobat og Reader
Sårbarhed i Adobe Acrobat/Reader kan lade angribere køre skadelig kode på din computer ved åbning af en fil.
Hvad er det?
CVE-2026-47937 er en sårbarhed i Adobe Acrobat og Acrobat Reader, som skyldes en fejl kaldet Uncontrolled Search Path Element (ukontrolleret søgesti, CWE-427). Det betyder, at programmet leder efter og indlæser filer fra steder på computeren, som en angriber kan manipulere. Hvis en angriber har fået adgang til computeren med høje rettigheder, kan vedkommende placere en ondsindet fil det rigtige sted, så Acrobat automatisk henter og udfører den, når du åbner et bestemt dokument. Resultatet er, at angriberen kan køre vilkårlig kode på din maskine med de samme rettigheder som dig som bruger.
Hvem rammer det?
Sårbarheden rammer alle virksomheder og privatpersoner, der bruger Adobe Acrobat DC, Acrobat Reader DC eller Adobe Acrobat i de berørte versioner på enten Windows eller macOS. Konkret gælder det:
- Adobe Acrobat DC og Acrobat Reader DC i version 15.008.20082 og nyere, men ældre end 26.001.21662
- Adobe Acrobat (version 24.x) i versioner fra 24.0.0 og ældre end 24.001.30383
Er PDF-læsning en del af jeres daglige arbejde — fx til fakturaer, kontrakter eller tilbud — er I sandsynligvis berørt, medmindre I allerede har opdateret.
Hvad kan ske?
En angriber, der udnytter denne sårbarhed, kan køre vilkårlig kode på den ramte computer. Det betyder i praksis:
- Installation af malware (ondsindet software) eller ransomware (løsesumsprogrammer)
- Tyveri af følsomme filer, adgangskoder eller forretningsdata
- Oprettelse af bagdøre, så angriberen kan vende tilbage senere
- Spredning til andre computere på samme netværk
Angrebet kræver, at en bruger åbner en ondsindet PDF-fil, og at angriberen i forvejen har høje rettigheder på systemet. Selvom forudsætningerne begrænser risikoen lidt, er konsekvenserne alvorlige, hvis angrebet lykkes — herunder fuldt tab af kontrol over den ramte maskine.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.7 (Alvorlig) ud af 10. Den er klassificeret som high severity. Angrebet kræver fysisk eller eksisterende adgang til systemet med høje rettigheder samt brugerinteraktion (åbning af en fil), hvilket sænker scoren en smule sammenlignet med sårbarheder der kan udnyttes helt udefra. Til gengæld er konsekvenserne fulde: fortrolighed, integritet og tilgængelighed af data er alle i høj risiko. Det faktum, at angrebet kan ændre scope — dvs. sprede sig ud over den direkte ramte applikation — gør det ekstra bekymrende i netværksmiljøer.
Hvad gør jeg nu?
Du bør opdatere Adobe Acrobat og Acrobat Reader hurtigst muligt. Følg disse trin:
- Find ud af hvilken version du bruger: Åbn Acrobat eller Reader, klik på Hjælp øverst i menuen, og vælg Om Adobe Acrobat. Her kan du se versionsnummeret.
- Opdater via programmet: Klik på Hjælp → Søg efter opdateringer og følg vejledningen. Opdateringen er gratis.
- Download manuelt hos Adobe: Gå til Adobes officielle hjemmeside og download den nyeste version (26.001.21662 eller nyere for DC, 24.001.30383 eller nyere for Acrobat 24.x).
- Opdater på alle computere: Sørg for, at alle medarbejdere med Acrobat installeret også opdaterer — ikke kun din egen maskine.
- Vær forsigtig med PDF-filer: Indtil opdateringen er gennemført, bør du undgå at åbne PDF-filer fra ukendte eller utroværdige afsendere.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer Adobe Acrobat og Reader på alle virksomhedens computere inden for den næste uge. Selvom angrebet kræver forhåndsadgang og brugerinteraktion, er PDF-dokumenter et hyppigt angrebsredskab i målrettede angreb mod virksomheder. Opdateringen er gratis og tager få minutter. Har du mange computere at holde styr på, kan det være en god anledning til at tale med os om automatisk patchstyring, så I ikke skal holde styr på det manuelt fremover.
Tidslinje
Konkrete eksempler
Ondsindet PDF sendt via e-mail
En angriber, der allerede har fået adgang til en medarbejders computer — fx via et tidligere phishing-angreb — placerer en manipuleret DLL-fil (en programfil) i en mappe på systemet. Når medarbejderen efterfølgende åbner en tilsyneladende normal PDF-fil, indlæser Acrobat Reader den ondsindede DLL i stedet for den rigtige, og angriberen kan nu køre kode på maskinen med medarbejderens rettigheder.
Angreb via delt netværksmappe
I en virksomhed med delte netværksmapper har en angriber med adgang til netværket lagt en falsk programfil i en delt mappe, som Acrobat søger igennem ved opstart. En kollega åbner et legitimt PDF-dokument, og uden at vide det udløser åbningen indlæsningen af angribers kode — potentielt fra en anden maskine på samme netværk.
Målrettet angreb mod en regnskabsmedarbejder
En angriber med fysisk adgang til en ubevogtet computer — fx på et kontor — placerer en ondsindet fil det rigtige sted på maskinen. Næste gang regnskabsmedarbejderen åbner en PDF-faktura, aktiveres angribers kode i baggrunden. Angriberen kan herefter eksportere regnskabsfiler eller installere software, der optager tastetryk og stjæler loginoplysninger til netbanken.
Ofte stillede spørgsmål
Skal jeg bekymre mig, selvom vi kun modtager PDF-filer fra kendte samarbejdspartnere?
Ja, delvist. Selvom risikoen er lavere, kan selv kendte afsendere utilsigtet sende manipulerede filer videre, hvis deres egne systemer er kompromitterede. Den bedste beskyttelse er at opdatere Acrobat, uanset hvem I normalt modtager filer fra.
Bruger vi gratis Acrobat Reader — gælder det også os?
Ja. Sårbarheden rammer både den gratis Adobe Acrobat Reader DC og den betalte Adobe Acrobat DC. Opdateringen til en sikker version er tilgængelig gratis for alle brugere via Hjælp → Søg efter opdateringer i programmet.
Kan angriberen udnytte sårbarheden uden at vi gør noget aktivt?
Nej, ikke direkte. Angrebet kræver to ting: at angriberen allerede har høje adgangsrettigheder på computeren, og at en bruger åbner en ondsindet fil. Det er altså ikke et angreb, der sker helt automatisk udefra — men det ændrer ikke ved, at opdatering er den rigtige handling.
Vi bruger Adobe Acrobat via en browser-plugin — er vi også sårbare?
Sårbarheden er primært knyttet til den installerede desktopversion af Acrobat og Reader. Bruger I udelukkende browserbaseret visning (fx Adobes online PDF-værktøjer), er I ikke direkte berørt. Har I programmet installeret lokalt, gælder anbefalingen om opdatering stadig.
Hvad er en 'søgesti-sårbarhed', og hvorfor er den farlig?
Når et program skal bruge en fil eller et bibliotek (en samling af kode), søger det typisk igennem en liste af mapper i en bestemt rækkefølge — det kaldes en søgesti. En søgesti-sårbarhed opstår, når en angriber kan placere en ondsindet fil i en mappe, som programmet søger i før den rigtige fil. Programmet henter da den falske fil og udfører dens kode, uden at brugeren opdager det.
Hvad gør jeg, hvis jeg ikke kan opdatere med det samme — fx fordi det kræver IT-godkendelse?
Som midlertidig foranstaltning bør du instruere medarbejderne i ikke at åbne PDF-filer fra ukendte afsendere eller usikre sources (fx e-mail-vedhæftninger fra fremmede). Kontakt jeres IT-afdeling eller en IT-partner med det samme og gør dem opmærksomme på, at opdateringen haster.
Ramte produkter
Adobe — Acrobat Dc
≥ 15.008.20082, < 26.001.21662
Adobe — Acrobat Reader Dc
≥ 15.008.20082, < 26.001.21662
Apple — Macos
–
Microsoft — Windows
–
Adobe — Acrobat
≥ 24.0.0, < 24.001.30383
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Acrobat Reader versions 24.001.30365, 26.001.21651 and earlier are affected by an Uncontrolled Search Path Element vulnerability that could result in arbitrary code execution in the context of the current user. An attacker with high privileges could exploit this vulnerability to execute arbitrary code. Exploitation of this issue requires user interaction in that a victim must open a malicious file. Scope is changed.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
