CIBERPLANETA_
🟠 SEVERIDAD ALTA 18 Jun 2026 02:05

Alerta de Seguridad: Google Chromium V8 Out-of-Bounds Read/Write con RCE en sandbox (CVE-2026-11645)

cve google chromium-v8 ioc rce out-of-bounds kev cisa sandbox javascript-engine drive-by exploit-activo
Alerta de Seguridad: Google Chromium V8 Out-of-Bounds Read/Write con RCE en sandbox (CVE-2026-11645)

// resumen_ejecutivo

Vulnerabilidad OOB en V8 permite RCE dentro del sandbox mediante página HTML maliciosa. Afecta Chrome, Edge y Opera. Explotación activa confirmada por CISA KEV.

// descripcion_detallada

Contexto técnico: CVE-2026-11645 es una vulnerabilidad crítica en el motor JavaScript V8 de Google Chromium que combina dos debilidades: escritura fuera de límites (CWE-787, Out-of-Bounds Write) y lectura fuera de límites (CWE-125, Out-of-Bounds Read). V8 es el motor de ejecución de JavaScript/WebAssembly utilizado por Chromium y todos los navegadores basados en él, incluyendo Google Chrome, Microsoft Edge, Opera y Brave, entre otros.

Mecanismo de explotación: Un atacante remoto puede alojar una página HTML especialmente manipulada que, al ser renderizada por el navegador víctima, desencadena una condición de acceso a memoria fuera de los límites del heap en el contexto del proceso renderer de V8. Esta condición permite tanto leer regiones de memoria no autorizadas (information disclosure) como escribir datos arbitrarios en posiciones de memoria controladas por el atacante. La combinación de ambas primitivas (lectura + escritura OOB) es especialmente peligrosa porque posibilita la construcción de exploits sofisticados capaces de lograr ejecución de código arbitrario dentro del sandbox del renderer. La interacción del usuario es mínima: basta con visitar la URL maliciosa (escenario drive-by).

Impacto potencial: Aunque la ejecución inicial queda confinada al sandbox del proceso renderer, esta vulnerabilidad constituye el primer eslabón de una cadena de explotación (exploit chain). En combinación con una vulnerabilidad de escape de sandbox (sandbox escape), un atacante podría comprometer completamente el sistema subyacente. CISA ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, lo que eleva significativamente el riesgo operacional. Los impactos directos incluyen: ejecución de código arbitrario en el contexto del renderer, exfiltración de datos desde la memoria del proceso (contraseñas, tokens de sesión, cookies), y potencial escalada hacia el sistema operativo si se encadena con un escape de sandbox.

Superficie de ataque: La vulnerabilidad afecta a todos los sistemas operativos compatibles con Chromium (Windows, macOS, Linux, Android). Cualquier usuario que utilice un navegador basado en Chromium sin parchear y navegue a contenido web no confiable es susceptible de ser comprometido. CISA ha incluido este CVE en su catálogo Known Exploited Vulnerabilities (KEV), con fecha límite de remediación para agencias federales FCEB el 23 de junio de 2026.

// vectores_de_ataque

RCE (Remote Code Execution) dentro del sandbox del renderer de Chromium. Vector: Red (AV:N), sin interacción de autenticación requerida, interacción del usuario mínima (visitar URL maliciosa). Técnica: drive-by download / watering hole. Primitivas explotadas: OOB Write (CWE-787) + OOB Read (CWE-125) sobre el heap de V8 mediante JavaScript/WebAssembly malicioso embebido en HTML. El exploit puede integrarse en cadenas de ataque multi-etapa si se combina con un sandbox escape para obtener ejecución a nivel de sistema operativo.

// indicadores_de_compromiso 1 tipo

CVEs (1)
CVE-2026-11645

// recomendaciones_de_mitigacion

  • Actualización inmediata de Google Chrome: Aplicar la versión estable publicada en el advisory oficial de Chrome Releases. Verificar la versión instalada accediendo a chrome://settings/help y aplicar la actualización disponible. Consultar el advisory en: https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0153744567.html
  • Actualización de Microsoft Edge: Aplicar las actualizaciones de seguridad publicadas por Microsoft para Edge (Chromium-based) a través de Windows Update o el canal de actualización del navegador. Consultar los advisories de Microsoft Security Response Center (MSRC).
  • Actualización de Opera y otros navegadores Chromium: Verificar y aplicar las actualizaciones disponibles para todos los navegadores basados en Chromium presentes en el entorno corporativo.
  • Cumplimiento BOD 22-01: Las agencias federales FCEB deben remediar esta vulnerabilidad antes del 23 de junio de 2026, conforme a la Directiva Operacional Vinculante 22-01 de CISA.
  • Gestión de activos: Realizar un inventario exhaustivo de todos los navegadores basados en Chromium desplegados en el entorno (endpoints, servidores, dispositivos móviles gestionados) y priorizar su actualización.
  • Mitigaciones temporales (si el parche no puede aplicarse de inmediato): Considerar la restricción de acceso a sitios web no categorizados o no confiables mediante proxy web corporativo y filtrado de URL. Evaluar el uso de tecnologías de aislamiento de navegador (Remote Browser Isolation, RBI) para usuarios de alto riesgo.
  • Monitorización de IOC: Activar alertas en soluciones EDR/XDR para detección de comportamientos anómalos en procesos de navegadores (child processes inesperados, accesos a memoria fuera de lo habitual, conexiones salientes no autorizadas desde procesos renderer).
  • Concienciación: Alertar a los usuarios sobre el riesgo de acceder a enlaces no solicitados o de origen desconocido, especialmente en el contexto actual de explotación activa confirmada.
  • Si la mitigación no es posible: Discontinuar el uso del producto afectado según las instrucciones de CISA, conforme a la acción requerida del catálogo KEV.

// referencias_externas

[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·