CVE-2026-14047
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie polityki bezpieczeństwa w rozszerzeniach. Osoba atakująca, która przekonała użytkownika do zainstalowania złośliwego rozszerzenia, mogła ominąć politykę bezpieczeństwa treści (CSP) za pomocą spreparowanego rozszerzenia Chrome.
Ocena ryzyka
Ryzyko polega na możliwości ominięcia CSP przez złośliwe rozszerzenie, co może prowadzić do wykonania nieautoryzowanych skryptów w kontekście przeglądarki i potencjalnego wycieku danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Google Chrome do wersji 150.0.7871.47 lub nowszej oraz przeszkolenie użytkowników w zakresie instalowania wyłącznie zaufanych rozszerzeń.
Oryginalny opis (angielski, źródło NVD)
Insufficient policy enforcement in Extensions in Google Chrome prior to 150.0.7871.47 allowed an attacker who convinced a user to install a malicious extension to bypass content security policy via a crafted Chrome Extension. (Chromium security severity: Low)

