CVE-2026-13921
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie DeviceBoundSessionCredentials. Luka ta umożliwia zdalnemu atakującemu ominięcie polityki samego pochodzenia (same origin policy) za pomocą spreparowanej strony HTML.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do kradzieży danych lub wykonania nieautoryzowanych działań w kontekście innej domeny, co stanowi średnie ryzyko dla poufności i integralności danych użytkownika.
Rekomendacja
Niezwłocznie zaktualizuj Google Chrome do wersji 150.0.7871.47 lub nowszej, która zawiera poprawkę eliminującą tę lukę.
Oryginalny opis (angielski, źródło NVD)
Insufficient validation of untrusted input in DeviceBoundSessionCredentials in Google Chrome prior to 150.0.7871.47 allowed a remote attacker to bypass same origin policy via a crafted HTML page. (Chromium security severity: Medium)

