CVE-2024-4671

CVSS 9.6 CRITICALEPSS 8.3%● KEVCWE-416

Vexday Risk Score

58Atención

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 9.6EPSS 8.3%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

09 may 2024Publicada en NVD

13 may 2024Explotación activa (CISA KEV)

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Una falla en Chrome permite que un atacante que ya controle el proceso de renderización del navegador escape de la sandbox (aislamiento de seguridad) a través de una página web especialmente creada, pudiendo acceder a todo el sistema.

Detalle técnico

Vulnerabilidad use-after-free en el componente Visuals permite que un proceso de renderización comprometido eluda el aislamiento de sandbox mediante HTML manipulado. El atacante debe comprometer primero el renderizador, luego disparar acceso a memoria después de liberación de objeto para lograr ejecución arbitraria de código con privilegios elevados.

Resumen generado y traducido por IA a partir de la descripción oficial.

Use after free in Visuals in Google Chrome prior to 124.0.6367.201 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

Google · Chrome

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias