← volver
CVE-2021-37973

CVE-2021-37973

CVSS 9.6 CRITICALEPSS 11.7%● KEVCWE-416
Vexday Risk Score
63Prioridad alta
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.6EPSS 11.7%KEV simPoC Nuclei Metasploit Patch referenciado
Ciclo de vida
08 oct 2021Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Un fallo de memoria en la función Portals de Chrome permite a atacantes usar memoria liberada para escapar de la caja de arena del navegador. Un atacante con control del proceso de renderización puede explotar esto para obtener acceso completo al sistema.

Detalle técnico

Vulnerabilidad use-after-free en la API Portals de Chrome (CWE-416) permite que un proceso de renderización comprometido acceda a objetos de memoria desasignados. La explotación requiere HTML craftado y compromiso del renderizador, posibilitando escape de la caja de arena con privilegios de ejecución completa del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Use after free in Portals in Google Chrome prior to 94.0.4606.61 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Productos afectados
Google · Chrome

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.htmlhttps://crbug.com/1251727https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4DDW7HAHTS3SDVXBQUY4SURELO5D4X7R/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PM7MOYYHJSWLIFZ4TPJTD7MSA3HSSLV2/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-37973https://www.debian.org/security/2022/dsa-5046