CVE-2026-9887
NVD · · CVE-2026-9887
Kennzahlen
- EPSS
- 0%
Key Insight
Die Schwachstelle ermöglicht Ferncode-Ausführung durch präparierte PAC-Skripte und gefährdet besonders Umgebungen mit verwalteten Proxy-Konfigurationen oder Unternehmens-PAC-Dateien.
Beschreibung
CVE-2026-9887 ist eine Use-after-Free-Schwachstelle in der Proxy-Verarbeitung von Google Chrome vor Version 148.0.7778.216 mit kritischer Sicherheitseinstufung (Chromium). Ein entfernter Angreifer kann beliebigen Code durch eine speziell präparierte PAC-Datei (Proxy Auto-Configuration) ausführen. PAC-Skripte werden häufig in Unternehmensumgebungen zentral verwaltet und automatisch an Browser verteilt, wodurch die Angriffsfläche erheblich ist. Der Angreifer müsste dem Opfer entweder eine bösartige PAC-Datei unterschieben oder eine legitime PAC-Datei im Netzwerk (WPAD/DHCP) manipulieren. Die Sicherheitsschwere wird als kritisch bewertet; ein Proof-of-Concept oder aktive Exploits sind nicht öffentlich bekannt, aber eine baldige Verfügbarkeit ist zu erwarten.
Risk Score
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational
MITRE ATT&CK Mapping
2 TTPsProcedure-Details
| Technik | Tactic | Procedure | Conf. | Quelle |
|---|---|---|---|---|
| T1203 Exploitation for Client Execution | Execution | A use-after-free vulnerability in Google Chrome's Proxy component (CVE-2026-9887) allows a remote attacker to execute arbitrary code by delivering a crafted PAC (Proxy Auto-Configuration) script to the victim's browser. | high | llm |
| T1189 Drive-by Compromise | Initial Access | A remote attacker can exploit the Chrome use-after-free vulnerability via a crafted PAC script served through a malicious or compromised web resource, enabling code execution without user interaction beyond browsing. | medium | llm |