CVE-2026-35467

Private Key stored as extractable in browser IndexeDB

CVSS 7.5 HIGHEPSS 0.2%CWE-522

Vexday Risk Score

21Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 7.5EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

02 abr 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

The stored API keys in temporary browser client is not marked as protected allowing for JavScript console or other errors to allow for extraction of the encryption credentials.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

CERT/CC · cveClient/encrypt-storage.js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/CERTCC/cveClient/https://github.com/CERTCC/cveClient/pull/39