Vulnerabilidades críticas en Google Chrome 2026

Vulnerabilidad crítica - 06/03

Introducción

CVE-2026-3545 se origina por una validación insuficiente de datos en el subsistema de navegación de Chrome, lo que permite que datos manipulados en una página HTML maliciosa no sean correctamente verificados por el navegador. Si un usuario visita dicha página, un atacante puede aprovechar el fallo para escapar del sandbox del navegador, uno de los principales mecanismos de aislamiento de seguridad de Chrome. El sandbox está diseñado para impedir que el contenido web acceda directamente al sistema operativo o a otros procesos del navegador. Romper esta barrera puede permitir a un atacante realizar acciones más avanzadas en el sistema de la víctima.

Análisis

CVE-2026-3545 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

El fallo explotado por CVE-2026-3545 aparece cuando el navegador procesa ciertos datos generados durante la navegación web. Un atacante puede crear una página especialmente diseñada con contenido HTML o JavaScript manipulado que provoque que el motor de navegación de Chrome procese información que no ha sido validada correctamente. Debido a esta validación incompleta, el navegador puede entrar en un estado interno inconsistente al manejar dichos datos. En determinadas circunstancias, este estado permite que el código ejecutado dentro del proceso renderer interactúe con componentes del navegador que deberían estar fuera de su alcance.

Como resultado, el atacante puede lograr un escape del sandbox y superar la barrera de aislamiento que normalmente protege al sistema frente al contenido web no confiable. Una vez que el código malicioso sale del entorno restringido del renderer, puede comunicarse con procesos del navegador con mayores privilegios, como el proceso principal encargado de la interfaz y de la gestión de recursos. Este paso es especialmente crítico, ya que rompe uno de los mecanismos fundamentales de seguridad del navegador.

En un escenario de ataque real, la explotación podría darse si la víctima visita una página web maliciosa, ya sea mediante un enlace de phishing, publicidad maliciosa o redirecciones comprometidas. Al cargarse la página, el contenido manipulado activaría el fallo en la validación de datos y desencadenaría el comportamiento que permite el escape del sandbox. Aunque este tipo de vulnerabilidad por sí sola no siempre garantiza el control completo del sistema, es valiosa para los atacantes porque puede combinarse con otras vulnerabilidades en lo que se conoce como una cadena de explotación. En estas cadenas, una primera vulnerabilidad permite ejecutar código dentro del proceso del navegador, mientras que el fallo de escape del sandbox facilita avanzar hacia un compromiso más amplio del sistema.

Versiones afectadas

Versiones anteriores a 145.0.7632.159.

Recomendaciones

• Actualizar Google Chrome a la versión 145.0.7632.159 o posterior.
• Aplicar actualizaciones automáticas del navegador.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
• https://app.opencve.io/cve/CVE-2026-3545
• https://radar.offseq.com/threat/cve-2026-3545-insufficient-data-validation-in-goog-72f3544b

Vulnerabilidad crítica - 16/03

Introducción

CVE-2026-3909 y CVE-2026-3910 son fallos críticos en Google Chrome que permiten la ejecución remota de código a través de la corrupción de memoria en componentes esenciales del navegador. La primera afecta al motor gráfico Skia, provocando escrituras fuera de límites al procesar contenido visual malicioso, mientras que la segunda compromete el motor V8 JavaScript Engine, explotando defectos en la interpretación de código JavaScript y WebAssembly.

Ambas vulnerabilidades fueron reportadas como explotadas activamente en entornos reales, lo que permite a un atacante ejecutar código arbitrario en el navegador, comprometiendo potencialmente el sistema del usuario y poniendo en riesgo datos sensibles.

Análisis

CVE-2026-3909 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8

CVE-2026-3909 es una vulnerabilidad de seguridad detectada en el navegador Google Chrome que permite a un atacante explotar un error de escritura fuera de límites (out-of-bounds write) en el motor gráfico Skia. El fallo se produce cuando el navegador procesa ciertos datos gráficos especialmente manipulados y termina escribiendo información fuera del área de memoria asignada. Un atacante puede aprovechar este comportamiento mediante una página web maliciosa que contenga contenido gráfico diseñado para activar el error; cuando la víctima la visita con una versión vulnerable del navegador, la corrupción de memoria puede permitir alterar estructuras internas del proceso del navegador y potencialmente ejecutar código arbitrario en el sistema de la víctima. 

CVE-2026-3910 - Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - 8,8

CVE-2026-3910 es una vulnerabilidad crítica detectada en el motor V8 JavaScript y WebAssembly del navegador Google Chrome. Cuando el navegador interpreta código especialmente manipulado, puede producirse una corrupción de memoria dentro del motor V8. Un atacante puede explotar este fallo a través de una página web maliciosa que ejecute código diseñado para activar la vulnerabilidad. Si un usuario visita dicha página con una versión vulnerable del navegador, el atacante podría obtener ejecución de código dentro del proceso del navegador y, en combinación con otras técnicas, comprometer el sistema de la víctima.

Versiones afectadas

Versiones de Google Chrome anteriores a 146.0.7680.75 en Windows, macOS y Linux.

Recomendaciones

Actualizar Google Chrome a 146.0.7680.75 o posterior.

Workarounds

No hay workarounds para estas vulnerabilidades.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-chrome-de-google
• https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html

Vulnerabilidad crítica - 16/03

Introducción

CVE‑2026‑3916 se clasifica como una lectura fuera de los límites de memoria (out‑of‑bounds read) que afecta al componente Web Speech del navegador Google Chrome. Este componente es responsable de proporcionar funcionalidades de reconocimiento y síntesis de voz, lo que permite a los sitios web interactuar con el usuario mediante comandos de voz o generar respuestas habladas.

Análisis

CVE-2026-3916 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE‑2026‑3916 se origina en el componente Web Speech de Google Chrome, encargado de procesar funciones de reconocimiento y síntesis de voz. Este componente utiliza buffers de memoria para almacenar temporalmente los datos de audio y sus procesos asociados. El fallo ocurre porque al manejar ciertos datos de entrada, Web Speech intenta acceder a áreas de memoria fuera de los límites asignados, es decir, lee información que no debería estar disponible para la página web o el proceso que lo ejecuta.

El ataque se puede realizar de manera remota y no requiere permisos especiales: basta con que un usuario visite una página web maliciosa o reproduzca un audio manipulado que contenga datos diseñados para provocar esta lectura fuera de límites. Cuando el navegador procesa estos datos, el código de Web Speech confía en que la información recibida está dentro de los límites esperados, y al no ser así, se produce una exposición de memoria sensible. Esto podría permitir al atacante acceder a información privada que normalmente está aislada dentro del proceso del navegador.

Aunque por sí sola esta vulnerabilidad no permite ejecutar código arbitrario, su importancia radica en que puede ser utilizada como primer paso en un ataque más complejo, combinándola con otras fallas de seguridad como errores de corrupción de memoria o vulnerabilidades tipo use-after-free. En estos escenarios, un atacante podría incluso llegar a comprometer la seguridad del sandbox de Chrome, que normalmente aísla los procesos del navegador para proteger el sistema y los datos del usuario.

Versiones afectadas

Versiones anteriores a la 146.0.7680.71.

Recomendaciones

Actualizar Chrome a la versión 146.0.7680.71 o posterior.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_10.html
• https://csirt.telconet.net/comunicacion/boletines-servicios/actualizacion-de-seguridad-de-google-chrome-corrige-29-vulnerabilidades-criticas/
• https://www.suse.com/security/cve/CVE-2026-3916.html

Vulnerabilidad crítica - 14/04

Introducción

CVE-2026-5874 corresponde a un fallo de seguridad identificado en PrivateAI de Google Chrome. Se trata de una vulnerabilidad de tipo use-after-free, una categoría de errores de gestión de memoria que ocurre cuando un programa continúa utilizando un recurso de memoria después de haber sido liberado. Este tipo de fallos puede derivar en corrupción de memoria y, en escenarios más avanzados, en la ejecución de código arbitrario.

La explotación de esta vulnerabilidad es posible a través de contenido web especialmente diseñado. Un atacante remoto podría inducir a la víctima a acceder a una página maliciosa que contenga código preparado para aprovechar este fallo. En este contexto, la interacción del usuario es necesaria para desencadenar el comportamiento vulnerable.

Análisis

CVE-2026-5874 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HC - 9,6

CVE-2026-5874 se fundamenta en un error de gestión de memoria del tipo use-after-free dentro del navegador Google Chrome, lo que implica una desincronización entre la liberación de un recurso y su uso posterior. En condiciones normales, el navegador reserva memoria para gestionar distintos objetos como elementos de una página web o componentes internos como PrivateAI, la utiliza durante su ciclo de vida y, finalmente, la libera cuando deja de ser necesaria. Sin embargo, en este caso, aunque la memoria se libera correctamente, el sistema mantiene referencias activas a ese espacio, lo que provoca que se vuelva a acceder a él de manera indebida.

A partir de esta situación, un atacante puede diseñar una página web específicamente preparada para explotar el fallo. En primer lugar, induce al navegador a crear y destruir ciertos objetos en momentos concretos, generalmente mediante contenido dinámico o interacciones controladas. A continuación, cuando la memoria ya ha sido liberada, el atacante fuerza nuevas asignaciones que reutilicen ese mismo espacio, logrando así introducir datos manipulados en la zona previamente ocupada por el objeto original.

De este modo, cuando el navegador intenta acceder de nuevo a ese objeto, en realidad está procesando información controlada por el atacante. Como consecuencia, se puede alterar el comportamiento interno del programa, lo que puede derivar en la ejecución de código arbitrario, la corrupción de estructuras de memoria o incluso la desviación del flujo de ejecución.

Cabe destacar que, para que la explotación tenga éxito, suele ser necesaria cierta interacción por parte del usuario, como realizar clics o ejecutar acciones dentro de la página maliciosa. Esto permite sincronizar con mayor precisión los eventos necesarios para provocar el fallo.

Aunque esta vulnerabilidad puede parecer limitada de forma aislada, su verdadero riesgo radica en que puede integrarse en cadenas de ataque más complejas. Así, un atacante podría utilizarla como punto de entrada para ejecutar código dentro del navegador y, posteriormente, combinarla con otros fallos con el objetivo de evadir mecanismos de seguridad como el sandbox y comprometer el sistema en su conjunto.

Versiones afectadas

Versiones de Chrome anteriores a la 147.0.7727.55.

Recomendaciones

Actualizar Google Chrome a versión 147.0.7727.55 o superior.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html
• https://access.redhat.com/security/cve/cve-2026-5874
• https://windowsforum.com/threads/cve-2026-5874-privateai-use-after-free-chrome-147-0-7727-55-sandbox-escape-risk.411635/

Vulnerabilidad crítica - 20/04

Introducción

CVE-2026-6296 es una vulnerabilidad crítica descubierta en el motor de renderizado gráfico utilizado por navegadores basados en Chromium, específicamente en el componente ANGLE (Almost Native Graphics Layer Engine), integrado en Google Chrome. Esta vulnerabilidad se clasifica como un desbordamiento de búfer en el heap (heap buffer overflow), lo que implica que el sistema permite escribir datos fuera de los límites de memoria asignados dinámicamente. Este tipo de fallo es especialmente peligroso porque puede corromper estructuras internas del programa y facilitar la ejecución de código arbitrario.

ANGLE actúa como una capa de abstracción gráfica que traduce llamadas de APIs como OpenGL ES (usadas en WebGL) a APIs nativas del sistema (DirectX, Vulkan, Metal, etc.), lo que permite que el contenido web con gráficos avanzados (como juegos en navegador o aplicaciones 3D) funcione de forma consistente en diferentes plataformas. ANGLE procesa datos complejos y potencialmente no confiables provenientes de sitios web y opera en una zona crítica del navegador con acceso a recursos de GPU y memoria, por lo que puede ser objetivo de ataques de corrupción de memoria.

Análisis

CVE-2026-6296 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-6296 se origina en el componente ANGLE de Google Chrome, que actúa como intermediario entre las aplicaciones web que utilizan WebGL y las API gráficas del sistema operativo. ANGLE es responsable de traducir instrucciones gráficas complejas procedentes de una página web a llamadas nativas de la GPU, lo que implica el procesamiento continuo de datos no totalmente confiables.

En ocasiones, ANGLE maneja de forma incorrecta determinados buffers en memoria durante estas operaciones gráficas. Debido a una falta de validación adecuada de los límites o a errores en el cálculo del tamaño de los datos, se produce un desbordamiento de búfer en el heap, lo que significa que el programa escribe información fuera del espacio de memoria que tenía reservado, resultando en la corrupción de estructuras adyacentes dentro del heap.

Esta corrupción no es aleatoria, ya que en un escenario de explotación un atacante puede influir en los datos que se escriben fuera de los límites, consiguiendo modificar punteros o estructuras internas del proceso del renderizador. A partir de ese punto, el fallo deja de ser únicamente un problema de estabilidad y puede convertirse en una primitiva de control de memoria que permite alterar el flujo de ejecución del programa.

Si el atacante consigue suficiente control sobre la memoria, puede redirigir la ejecución hacia código inyectado o reutilizar fragmentos de memoria existentes para ejecutar instrucciones arbitrarias dentro del proceso del navegador. Dado que este proceso está aislado mediante un sandbox, el impacto inicial se limita a ese entorno. Sin embargo, en determinadas condiciones, esta corrupción puede ser utilizada como parte de una cadena de explotación más amplia, permitiendo potencialmente romper el aislamiento del sandbox mediante técnicas adicionales.

Versiones afectadas

Versiones anteriores a 147.0.7727.101.

Recomendaciones

Actualizar Google Chrome a la versión 147.0.7727.101 o superior. Esta medida también debe aplicarse a otros navegadores basados en Chromium, como Microsoft Edge, Brave Browser y Opera.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
• https://www.rapid7.com/db/vulnerabilities/google-chrome-cve-2026-6296/
• https://access.redhat.com/security/cve/cve-2026-6296

Vulnerabilidad crítica - 27/04

Introducción

CVE-2026-6919 y CVE-2026-6920 afectan a componentes internos del motor del navegador Google Chrome y se enmarcan en categorías clásicas de errores de gestión de memoria, ampliamente asociados a la seguridad de aplicaciones complejas como los navegadores modernos.

Estos dos fallos comparten un contexto técnico relevante: se producen dentro de subsistemas críticos de Chrome (DevTools y GPU) y pueden ser explotados mediante contenido web especialmente diseñado. Aunque sus causas técnicas específicas difieren, ambos tienen en común la posibilidad de ser utilizados dentro de cadenas de ataque más amplias, en las que un atacante primero compromete el proceso de renderizado del navegador y posteriormente intenta escapar del entorno de aislamiento (sandbox), uno de los principales mecanismos de defensa del navegador.

Análisis

CVE-2026-6920 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-6920 es un fallo de seguridad crítico que afecta al navegador Google Chrome en dispositivos Android. Se trata de una vulnerabilidad de tipo out-of-bounds read, clasificada dentro de la categoría CWE-125, lo que implica que el software puede acceder a zonas de memoria fuera de los límites permitidos. Este tipo de errores, aunque en principio pueden parecer limitados a la exposición de información, resultan especialmente peligrosos cuando se combinan con otros fallos, ya que pueden facilitar la evasión de mecanismos de seguridad más robustos.

La vulnerabilidad reside en el componente gráfico (GPU) del navegador, una parte crítica encargada de procesar contenidos visuales y acelerar la renderización de páginas web. Un atacante remoto podría explotar este fallo mediante una página web especialmente diseñada, logrando primero comprometer el proceso de renderizado del navegador. A partir de ahí, CVE-2026-6920 permite avanzar en la cadena de ataque al posibilitar un escape del entorno de aislamiento o sandbox, una de las principales barreras de seguridad implementadas en navegadores modernos para evitar que el código malicioso afecte al sistema subyacente.

El impacto de esta vulnerabilidad es elevado porque rompe precisamente ese modelo de aislamiento. Aunque requiere interacción del usuario, normalmente al visitar un sitio web malicioso, y la explotación previa de otro fallo en el renderer, su papel dentro de una cadena de explotación es clave. En escenarios reales, este tipo de vulnerabilidades se utilizan en ataques más complejos, como los denominados drive-by downloads, donde el usuario puede ser comprometido sin necesidad de acciones adicionales más allá de cargar contenido web manipulado.

CVE-2026-6919 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-6919 es un fallo de seguridad que pertenece a la categoría de errores de gestión de memoria conocidos como use-after-free, clasificados como CWE-416, en los que una aplicación continúa utilizando una zona de memoria después de haber sido liberada, generando comportamientos impredecibles y potencialmente explotables.

La vulnerabilidad se localiza en el componente DevTools de Chrome, es decir, en las herramientas de desarrollo integradas en el navegador. Aunque estas herramientas están orientadas principalmente a desarrolladores, forman parte del mismo proceso del navegador y, por tanto, pueden ser utilizadas como vector de ataque si contienen fallos de seguridad. La vulnerabilidad permite que un atacante remoto, mediante la creación de una página web especialmente manipulada, pueda desencadenar el error de memoria y aprovecharlo para avanzar en una cadena de explotación.

El escenario de ataque es similar al de otras vulnerabilidades modernas en navegadores: el atacante necesita haber comprometido previamente el proceso de renderizado (renderer), normalmente mediante otra vulnerabilidad inicial. A partir de ese punto, CVE-2026-6919 permite realizar un sandbox escape, es decir, romper el aislamiento de seguridad que Chrome utiliza para contener código potencialmente malicioso. Este aislamiento es uno de los pilares de la seguridad en navegadores modernos, por lo que su evasión supone un incremento significativo del riesgo.

El impacto de esta vulnerabilidad es elevado porque puede facilitar la ejecución de código fuera del entorno restringido del navegador, lo que abre la puerta a compromisos más amplios del sistema afectado. Un atacante podría combinar este fallo con otros para lograr control sobre el dispositivo, acceder a información sensible o establecer persistencia. Por este motivo, aunque el fallo por sí solo requiere condiciones previas, se considera especialmente peligroso dentro de cadenas de ataque más sofisticadas.

Versiones afectadas

• Versiones anteriores a 147.0.7727.116/117 en Windows y macOS
• Versiones anteriores a 147.0.7727.116 en Linux

Recomendaciones

Actualizar Google Chrome a la versión 147.0.7727.117 o superior.

Workarounds

No hay workarounds para estas vulnerabilidades.

Referencias

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_22.html
• https://www.forbes.com/sites/daveywinder/2026/04/24/new-google-chrome-security-alert-for-35-billion-users/

Vulnerabilidad crítica - 08/05

Introducción

CVE-2026-7908 es una vulnerabilidad crítica en Google Chrome publicada el 8 de mayo de 2026, con idéntico perfil de riesgo al de CVE-2026-7910, lo que sugiere que ambos fallos fueron descubiertos y parcheados de forma simultánea en la misma actualización del canal Stable.

El vector CVSS 3.1 AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H confirma que el atacante puede operar de forma completamente remota sin necesidad de autenticación ni de condiciones técnicas especiales.

La presencia de dos CVEs distintos en el mismo boletín de actualización de Chrome indica la existencia de múltiples superficies de ataque en la versión afectada, incrementando la urgencia del parcheo.

El atributo de alcance cambiante (S:C) apunta a un posible bypass del mecanismo de aislamiento de procesos de Chrome, conocido como Site Isolation, que constituye una de las principales capas defensivas del navegador.

CVE-2026-7910 es una vulnerabilidad crítica identificada en Google Chrome que permite la ejecución de código arbitrario mediante la interacción del usuario con contenido web malicioso.

El vector de ataque es completamente remoto (AV:N) con complejidad baja (AC:L), lo que facilita su explotación masiva sin requisitos técnicos avanzados por parte del atacante.

La vulnerabilidad no requiere ningún nivel de privilegios previo (PR:N) en el sistema objetivo, reduciendo significativamente la barrera de explotación.

El alcance cambiante (S:C) indica que el impacto trasciende el componente vulnerable original, sugiriendo un potencial escape del sandbox del navegador hacia el sistema operativo subyacente.

Con impacto Alto en confidencialidad, integridad y disponibilidad (C:H/I:H/A:H), esta vulnerabilidad representa una amenaza crítica con puntuación CVSS 3.1 estimada en 9.6.

La explotación conjunta de CVE-2026-7908 y CVE-2026-7910 podría permitir cadenas de ataque encadenadas (exploit chains) de mayor sofisticación y alcance.

Análisis

CVE-2026-7908 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-7908 representa una vulnerabilidad independiente pero estrechamente relacionada con CVE-2026-7910, ambas corregidas en el mismo ciclo de actualización del canal Stable de Google Chrome. El vector de ataque comparte la misma taxonomía CVSS (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H), aunque el componente específico afectado podría diferir, siendo candidatos probables subsistemas como el gestor de memoria del renderer, el motor de análisis HTML/CSS o las APIs de WebAssembly. La existencia de vulnerabilidades paralelas en el mismo producto y versión es indicativa de una auditoría de seguridad o reporte coordinado que ha permitido identificar múltiples debilidades en una misma superficie de ataque.

El análisis del comportamiento esperado en explotación revela que CVE-2026-7908 podría funcionar como vector de entrada inicial en una cadena de explotación donde CVE-2026-7910 actúe como mecanismo de escalada o escape de sandbox. Esta sinergia entre vulnerabilidades del mismo ciclo de parcheo es un patrón conocido en la explotación avanzada de navegadores, frecuentemente utilizado por actores de amenaza persistente avanzada (APT) y grupos de ciberespionaje que desarrollan exploits 0-day para compromiso de objetivos de alto valor. La ausencia de requisitos de privilegios (PR:N) y la baja complejidad (AC:L) posicionan esta vulnerabilidad como altamente susceptible de ser incorporada en exploit kits comerciales o de código abierto.

Las medidas de mitigación inmediatas pasan por la actualización urgente a la última versión del canal Stable de Google Chrome, verificando que el proceso de actualización automática esté correctamente habilitado en todos los endpoints de la organización. Adicionalmente, se recomienda la aplicación de políticas de seguridad empresarial que fuercen el uso de Chrome con flags de aislamiento de procesos habilitados (--site-per-process), así como la restricción de acceso a sitios web no categorizados mediante soluciones de filtrado de contenido. La telemetría de seguridad debe monitorizarse activamente en busca de crashes inusuales del proceso renderer o de comportamientos anómalos post-navegación, que podrían ser indicativos de explotación en curso.

CVE-2026-7910 -  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H - 9,6

CVE-2026-7910 afecta al motor de renderizado de Google Chrome, siendo clasificada dentro de las categorías de mayor riesgo según el modelo CVSS 3.1 con un vector AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H. El componente afectado, con alta probabilidad asociado al motor JavaScript V8 o al subsistema de renderizado Blink, permite que un atacante remoto no autenticado consiga ejecución de código arbitrario mediante la simple visita a una página web especialmente manipulada. La característica de 'Scope Changed' (S:C) es especialmente relevante, ya que implica que el código malicioso puede escapar del entorno aislado (sandbox) del proceso renderer y comprometer procesos con mayores privilegios en el sistema operativo.

Desde una perspectiva de explotación, el escenario de ataque más probable implica la distribución de URLs maliciosas mediante campañas de phishing, publicidad maliciosa (malvertising) o compromisos de sitios web legítimos (watering hole). La baja complejidad de ataque (AC:L) sugiere que no se requieren condiciones de carrera ni configuraciones específicas del sistema víctima, lo que posibilita la automatización del exploit en kits de explotación. El único requisito es la interacción del usuario (UI:R), limitada a abrir una URL en el navegador afectado, lo que convierte a esta vulnerabilidad en un vector ideal para campañas de compromiso masivo dirigidas tanto a usuarios corporativos como domésticos.

El impacto combinado Alto en los tres pilares de la seguridad (C:H/I:H/A:H) implica que una explotación exitosa puede resultar en exfiltración de credenciales almacenadas, cookies de sesión y datos sensibles del navegador; escritura arbitraria en el sistema de archivos del usuario; e incluso denegación de servicio del proceso del navegador o del sistema. Las organizaciones deben aplicar de forma inmediata el parche distribuido por Google en el canal Stable, dado que la divulgación pública incrementa exponencialmente el riesgo de explotación activa en las horas y días posteriores al aviso. Se recomienda adicionalmente revisar los registros de acceso web en busca de patrones de navegación anómalos y considerar la implementación de controles de proxy con inspección de contenido.

Versiones afectadas

Consultar advisory del fabricante para versiones afectadas. 

Recomendaciones

1. Aplicar el parche oficial del fabricante con carácter urgente.

2. Consultar el advisory del fabricante y de CISA para mitigaciones específicas.

3. Implementar controles compensatorios donde el parcheo no sea inmediato.

4. Revisar inventario de activos para determinar exposición.

Workarounds

No hay workarounds específicos identificados. Consultar el advisory oficial del fabricante para este CVE.

Referencias

• https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html