NEU CRITICAL
CVE-2026-9893
NVD · · CVE-2026-9893
Kennzahlen
- EPSS
- 0%
Key Insight
Eine kritische Use-After-Free-Schwachstelle in Skia ermöglicht einem Angreifer mit Zugriff auf den Renderer-Prozess (z.B. durch bösartige HTML) einen Sandbox-Escape zu erreichen.
Beschreibung
CVE-2026-9893 ist eine Use-After-Free-Schwachstelle in der Skia-Rendering-Engine von Google Chrome (Versionen vor 148.0.7778.216). Ein Angreifer, der den Renderer-Prozess kompromittiert hat, kann über eine präparierte HTML-Seite einen Sandbox-Escape durchführen und damit aus dem isolierten Renderer-Kontext ausbrechen. Chromium stuft diese Schwachstelle als kritisch ein. Betroffene Chrome-Versionen sollten auf Version 148.0.7778.216 oder später aktualisiert werden.
Risk Score
54
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational
MITRE ATT&CK Mapping
2 TTPs Recon
Resource Dev
Initial Access
Execution
T1203 Exploitation for Client Execution Persistence
Priv. Escal.
Def. Evasion
T1211 Exploitation for Defense Evasion Cred. Access
Discovery
Lateral Mov.
Collection
C2
Exfiltration
Impact
Procedure-Details
| Technik | Tactic | Procedure | Conf. | Quelle |
|---|---|---|---|---|
| T1203 Exploitation for Client Execution | Execution | A crafted HTML page exploits a use-after-free vulnerability in Skia (CVE-2026-9893) within Google Chrome prior to 148.0.7778.216 to achieve code execution in the renderer process | high | llm |
| T1211 Exploitation for Defense Evasion | Defense Evasion | The use-after-free vulnerability in Chrome's Skia component is leveraged by an attacker who has already compromised the renderer process to escape the Chrome sandbox | high | llm |