CIBERPLANETA_
18 Jun 2026 · 02:06 Ciberplaneta News Vulnerabilidades 5 min de lectura
CVE-2026-11645: Vulnerabilidad crítica de escritura fuera de límites en Google Chromium V8 activamente explotada

CVE-2026-11645: Vulnerabilidad crítica de escritura fuera de límites en Google Chromium V8 activamente explotada

CVE-2026-11645: Vulnerabilidad de Lectura y Escritura Fuera de Límites en Google Chromium V8

El motor de JavaScript V8 de Google Chromium es uno de los componentes más críticos y ampliamente desplegados del ecosistema de navegadores modernos. Una nueva vulnerabilidad identificada como CVE-2026-11645 ha sido añadida al catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA, lo que confirma su explotación activa en entornos reales. Esta vulnerabilidad afecta a la categoría de out-of-bounds read and write (lectura y escritura fuera de límites), clasificada bajo CWE-787 (escritura fuera de límites) y CWE-125 (lectura fuera de límites), y representa una amenaza significativa para millones de usuarios que utilizan navegadores basados en Chromium en todo el mundo.

Análisis Técnico

La vulnerabilidad reside específicamente en el motor V8, el componente encargado de compilar y ejecutar código JavaScript y WebAssembly en los navegadores basados en Chromium. V8 implementa técnicas avanzadas de optimización JIT (Just-In-Time compilation) que, bajo determinadas condiciones, pueden introducir errores en la gestión de acceso a memoria.

En este caso concreto, un atacante remoto puede provocar condiciones de lectura y escritura fuera de los límites asignados en el heap de memoria del proceso del navegador. Esto se logra mediante una página HTML especialmente manipulada que, al ser procesada por el motor V8, desencadena el comportamiento anómalo en la gestión de estructuras de objetos JavaScript internos.

Mecanismo de explotación

  • Vector de ataque: Remoto, sin necesidad de autenticación previa. El usuario únicamente necesita visitar una página web controlada por el atacante.
  • Primitiva de explotación: La combinación de CWE-787 y CWE-125 permite al atacante tanto leer datos sensibles de memoria adyacente como sobrescribir regiones de memoria críticas, facilitando la corrupción del heap.
  • Ejecución de código en sandbox: Según la descripción oficial de CISA, la explotación permite ejecutar código arbitrario dentro del sandbox del navegador. No obstante, en escenarios de explotación encadenada (exploit chaining), esta vulnerabilidad suele combinarse con un segundo fallo de escape de sandbox para lograr compromiso completo del sistema.
  • Superficie de ataque: Cualquier contenido web que pueda ser interpretado por V8, incluyendo iframes, anuncios embebidos y redirecciones transparentes.

El tracker interno del proyecto Chromium, disponible en issues.chromium.org/issues/506689381, documenta los detalles del reporte original, aunque el acceso completo puede estar restringido durante el período de divulgación responsable para evitar facilitar la explotación masiva.

Impacto

El impacto potencial de esta vulnerabilidad es elevado. Dado que V8 es un componente compartido entre múltiples navegadores de amplia adopción, la superficie de ataque es extraordinariamente amplia. La explotación exitosa puede resultar en:

  • Ejecución de código arbitrario dentro del contexto del proceso renderer del navegador.
  • Filtración de información sensible residente en memoria del proceso, incluyendo credenciales, tokens de sesión y datos de formularios.
  • Posible escalada de privilegios si se encadena con un exploit de escape de sandbox.
  • Instalación de malware, spyware o implantes de acceso remoto (RAT) en el sistema del usuario.
  • Compromiso silencioso mediante ataques de tipo drive-by download, sin interacción activa del usuario más allá de la visita a una URL maliciosa.

En cuanto a su relación con ransomware, la CISA clasifica este aspecto como desconocido (Unknown) en el momento de la publicación. Sin embargo, este dato no debe interpretarse como ausencia de riesgo: las vulnerabilidades en motores de JavaScript de navegadores han sido históricamente utilizadas como vector inicial en cadenas de ataque que culminan en la distribución de ransomware, particularmente en entornos corporativos donde los usuarios acceden a servicios web desde estaciones de trabajo con privilegios elevados.

Productos Afectados

Dado que V8 es el motor JavaScript subyacente en toda la familia de navegadores basados en Chromium, los productos afectados incluyen, pero no se limitan a:

  • Google Chrome — todas las versiones previas al parche publicado en el Stable Channel Update de junio de 2026.
  • Microsoft Edge — basado en Chromium, sujeto a la misma vulnerabilidad en el motor V8 compartido.
  • Opera — también construido sobre la base de Chromium.
  • Brave Browser, Vivaldi, Samsung Internet y otros navegadores derivados de Chromium que incorporen el motor V8 sin la corrección aplicada.
  • Aplicaciones Electron y entornos embebidos que utilicen una versión vulnerable de V8 como motor de ejecución.

La entrada oficial en el NVD puede consultarse en nvd.nist.gov/vuln/detail/CVE-2026-11645, donde se irá actualizando la información sobre versiones afectadas y puntuación CVSS a medida que el proceso de análisis avance.

Recomendaciones y Mitigaciones

La CISA, bajo la directiva operacional vinculante BOD 22-01, exige que las agencias del gobierno federal de los Estados Unidos apliquen las mitigaciones disponibles en los plazos establecidos. Para el resto de organizaciones y usuarios, se recomienda con carácter urgente:

Acciones inmediatas

  • Actualizar Google Chrome a la versión más reciente del canal estable. La actualización puede forzarse accediendo a chrome://settings/help o a través de los mecanismos de actualización corporativa (Google Update, WSUS para Edge, etc.).
  • Actualizar Microsoft Edge desde edge://settings/help o mediante las políticas de actualización de Microsoft.
  • Actualizar Opera y cualquier otro navegador basado en Chromium a sus versiones parcheadas correspondientes.
  • Verificar las aplicaciones Electron desplegadas en el entorno corporativo e identificar aquellas que incorporen versiones vulnerables de V8.
  • Aplicar políticas de navegación segura: Implementar soluciones de filtrado web (Secure Web Gateway) que bloqueen el acceso a dominios maliciosos conocidos y URLs de phishing.
  • Activar el aislamiento de sitios (Site Isolation) en las políticas del navegador, lo que puede dificultar los ataques de escape de sandbox.
  • En entornos de alto riesgo donde no sea posible aplicar el parche de forma inmediata, considerar el uso temporal de un navegador alternativo que no utilice el motor V8 hasta que la actualización pueda desplegarse.

Medidas organizativas

  • Revisar y actualizar los inventarios de activos de software para identificar todas las instancias de navegadores Chromium y aplicaciones basadas en Electron en la red corporativa.
  • Implementar soluciones de Endpoint Detection and Response (EDR) con capacidad para detectar comportamientos anómalos originados desde procesos de navegador.
  • Reforzar la formación de usuarios en la detección de ataques de ingeniería social que puedan direccionar el tráfico hacia páginas maliciosas explotadoras.

Referencias Oficiales

// compartir: X Telegram LinkedIn WhatsApp
// ¿qué te parece este artículo?
// comentarios (0)
// sin comentarios aún
inicia sesión o regístrate para comentar.
← volver
[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·