CVE-2026-13957
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W Google Chrome przed wersją 150.0.7871.47 wykryto nieprawidłowe działanie interfejsu bezpieczeństwa w rozszerzeniach. Atakujący, który nakłoni użytkownika do zainstalowania złośliwego rozszerzenia, mógł wstrzykiwać dowolne skrypty lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu Universal XSS, co może prowadzić do kradzieży danych, przejęcia sesji lub wykonania nieautoryzowanych działań w kontekście innych witryn.
Rekomendacja
Należy niezwłocznie zaktualizować Google Chrome do wersji 150.0.7871.47 lub nowszej oraz przeszkolić użytkowników w zakresie instalowania wyłącznie zaufanych rozszerzeń.
Oryginalny opis (angielski, źródło NVD)
Incorrect security UI in Extensions in Google Chrome prior to 150.0.7871.47 allowed an attacker who convinced a user to install a malicious extension to inject arbitrary scripts or HTML (UXSS) via a crafted HTML page. (Chromium security severity: Medium)

