CVE-2026-9890
NVD · · CVE-2026-9890
Kennzahlen
- EPSS
- 0%
Key Insight
Eine kritische Use-After-Free-Schwachstelle in Chromes XR-Modul ermöglicht einem Angreifer mit Renderer-Prozess-Zugriff den Sandbox-Escape , eine direkte Bedrohung für browserbasierte Angriffsvektoren auf Windows-Systemen.
Beschreibung
CVE-2026-9890 ist eine Use-After-Free-Schwachstelle im XR-Modul von Google Chrome (Versionen vor 148.0.7778.216 auf Windows), die es einem Remote-Angreifer, der den Renderer-Prozess kompromittiert hat, ermöglicht, über eine manipulierte HTML-Seite einen Sandbox-Escape durchzuführen. Die Chromium-Sicherheitsbewertung ist "Critical". Dies ist ein vollständiger Kontrollfluss-Exploit-Pfad: Browser-Exploit → Renderer-Sandbox-Escape → Systemzugriff. Da Chrome bei Joel Traber AG in der gesamten Belegschaft verbreitet ist, erfordert dieser CVE sofortige Patch-Priorisierung.
Risk Score
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational
MITRE ATT&CK Mapping
2 TTPsProcedure-Details
| Technik | Tactic | Procedure | Conf. | Quelle |
|---|---|---|---|---|
| T1203 Exploitation for Client Execution | Execution | A crafted HTML page exploits a use-after-free vulnerability in the XR component of Google Chrome on Windows (CVE-2026-9890) to achieve code execution within the renderer process. | high | llm |
| T1211 Exploitation for Defense Evasion | Defense Evasion | The use-after-free vulnerability in Chrome's XR component is leveraged by an attacker who has already compromised the renderer process to escape the Chrome sandbox, bypassing browser security boundaries. | high | llm |