CVE-2025-10890

CVSS 9.1 CRITICALEPSS 0.3%CWE-1300 CWE-203

En resumen

Una falla en el motor V8 de Chrome permite que atacantes roben datos privados de otros sitios web que visitas mediante una página HTML maliciosa. Esto compromete el aislamiento de seguridad que normalmente mantiene el navegador entre sitios.

Detalle técnico

CVE-2025-10890 explota una vulnerabilidad de side-channel en V8 que permite fuga de datos entre orígenes diferentes a través del análisis de timing o comportamiento activado por una página HTML maliciosa. El ataque requiere interacción del usuario (visitar la página preparada) y aprovecha fuga de información de caché o patrones de ejecución para eludir protecciones de same-origin policy. El impacto incluye divulgación no autorizada de datos sensibles de otros orígenes.

Resumen generado y traducido por IA a partir de la descripción oficial.

Side-channel information leakage in V8 in Google Chrome prior to 140.0.7339.207 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Productos afectados

Google · Chrome

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html https://issues.chromium.org/issues/430336833