CVE-2026-9264
KrytyczneStreszczenie
W podatności XSS w funkcji Dynamic Components programu SketchUp 2026, atakujący może zdalnie wykonywać kod oraz wykradać lokalne pliki poprzez złośliwie przygotowane pliki SKP. Problem wynika z niewłaściwej sanitizacji danych wejściowych w oknie opcji komponentu.
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu oraz wyciek danych lokalnych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufnych informacji.
Rekomendacja
Zaleca się aktualizację SketchUp do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
A cross-site scripting (XSS) vulnerability in SketchUp 2026's Dynamic Components feature allows remote code execution and local file exfiltration through maliciously crafted SKP files. The vulnerability stems from improper input sanitization in the component options window, enabling attackers to execute arbitrary system commands and read local files without user interaction by exploiting an embedded Internet Explorer 11 browser.

