CVE-2026-9874
NVD · · CVE-2026-9874
Kennzahlen
- EPSS
- 0%
Key Insight
Die Schwachstelle ermöglicht nicht nur Code-Ausführung im Chrome-Renderer, sondern potenziell auch einen Escape aus der Sandbox , was lokale Systemkompromittierung ermöglichen könnte.
Beschreibung
CVE-2026-9874 ist eine Use-after-Free-Schwachstelle in Googles GPU-Abstraktions-Layer "Dawn" in Chrome-Versionen vor 148.0.7778.216. Sie kann durch eine manipulierte HTML-Seite ausgelöst werden und ermöglicht einem Angreifer Remote-Code-Ausführung mit Sandbox-Escape-Potenzial (Chromium-Severity: Critical). Da Chrome in der Manufacturing-Umgebung (Design-Tools, Web-Anwendungen) eingesetzt wird, könnten Mitarbeiter durch gezielt präparierte Webseiten kompromittiert werden. Die Schwachstelle ist derzeit nicht als öffentlich aktiv ausgenutzt dokumentiert, erfordert aber sofortige Updates.
Risk Score
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational
MITRE ATT&CK Mapping
3 TTPsProcedure-Details
| Technik | Tactic | Procedure | Conf. | Quelle |
|---|---|---|---|---|
| T1203 Exploitation for Client Execution | Execution | A use-after-free vulnerability in Dawn (WebGPU implementation) in Google Chrome prior to 148.0.7778.216 is exploited via a crafted HTML page to achieve code execution in the renderer process. | high | llm |
| T1211 Exploitation for Defense Evasion | Defense Evasion | The use-after-free vulnerability in Chrome's Dawn component allows a remote attacker to potentially escape the Chrome sandbox, bypassing the browser's security boundary. | high | llm |
| T1189 Drive-by Compromise | Initial Access | A remote attacker can exploit CVE-2026-9874 by luring a victim to a crafted HTML page that triggers the use-after-free condition in the Dawn WebGPU component of Chrome. | high | llm |