Katalog CVE

CVE-2026-9264

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności XSS w funkcji Dynamic Components programu SketchUp 2026, atakujący może zdalnie wykonywać kod oraz wykradać lokalne pliki poprzez złośliwie przygotowane pliki SKP. Problem wynika z niewłaściwej sanitizacji danych wejściowych w oknie opcji komponentu.

Ocena ryzyka

Organizacje mogą być narażone na zdalne wykonanie kodu oraz wyciek danych lokalnych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty poufnych informacji.

Rekomendacja

Zaleca się aktualizację SketchUp do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

A cross-site scripting (XSS) vulnerability in SketchUp 2026's Dynamic Components feature allows remote code execution and local file exfiltration through maliciously crafted SKP files. The vulnerability stems from improper input sanitization in the component options window, enabling attackers to execute arbitrary system commands and read local files without user interaction by exploiting an embedded Internet Explorer 11 browser.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS