CRITICAL✓ PATCH🇬🇧 English

CVE-2026-11153

Wyciek danych cross-origin przez side-channel w formularzach Google Chrome

CVSS 9.1pub. 2026-06-04upd. 2026-06-08

Podatność w obsłudze formularzy w Google Chrome umożliwia zdalnemu atakującemu wyciek danych cross-origin za pomocą spreparowanej strony HTML. Pomimo klasyfikacji CVSS na poziomie 9.1 (CRITICAL), sam producent (Chromium) ocenił jej wagę jako Medium.

Pokaż oryginał (EN)

Side-channel information leakage in Forms in Google Chrome prior to 149.0.7827.53 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: Medium)

🤖 Analiza AI
Jak działa

Błąd polega na nieszczelności informacyjnej typu side-channel w komponencie odpowiedzialnym za obsługę formularzy (Forms) w przeglądarce Google Chrome. Atakujący może przygotować złośliwą stronę HTML, której odwiedzenie przez ofiarę powoduje nieautoryzowany odczyt danych pochodzących z innych źródeł (cross-origin). Mechanizm side-channel oznacza, że wyciek zachodzi nie przez bezpośrednie naruszenie mechanizmów kontroli dostępu, lecz przez obserwację efektów ubocznych działania przeglądarki.

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych cross-origin, co narusza poufność informacji przetwarzanych w innych kontekstach przeglądarki. Integralność danych nie jest bezpośrednio zagrożona, jednak ujawnienie danych może prowadzić do dalszych ataków.

Mitygacja

Należy zaktualizować Google Chrome do wersji 149.0.7827.53 lub nowszej. Aktualizacja jest dostępna poprzez wbudowany mechanizm aktualizacji przeglądarki lub na stronie producenta zgodnie z referencją chromereleases.googleblog.com.

Kogo dotyczy

Google Chrome w wersjach wcześniejszych niż 149.0.7827.53 na systemach operacyjnych Google Chrome, Apple macOS, Linux oraz Microsoft Windows.

Uwagi

Rozbieżność między oceną CVSS (9.1 CRITICAL) a wewnętrzną oceną Chromium (Medium) może wskazywać na ograniczoną praktyczną exploitowalność podatności w typowych warunkach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Google Chrome

    APP
    Google
    < 149.0.7827.53
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach