CVE-2026-11645 — Chrome V8 Zero-Day em Exploração Ativa (ALTO)

CVE-2026-11645 — Chrome V8 Zero-Day em Exploração Ativa (ALTO)
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.

O cenário de segurança corporativa acaba de ganhar um novo e grave capítulo. Nesta quarta-feira, 10 de junho de 2026, o CISA KEV (Known Exploited Vulnerabilities Catalog) foi atualizado com cinco zero-days de alto impacto, e o que mais acendeu todos os alertas do nosso SOC foi a CVE-2026-11645. Esta é uma falha out-of-bounds read and write no motor V8 do Chromium, que está sendo ativamente explorada contra alvos corporativos. A CVE-2026-11645 exploração ativa vulnerabilidade afeta não apenas o Google Chrome, mas toda a constelação de navegadores baseados em Chromium — Microsoft Edge, Opera, Brave, Vivaldi e centenas de aplicações embarcadas que utilizam o motor de renderização. Se sua organização ainda não iniciou a remediação, estamos falando de uma janela de exposição crítica. A JRT Technology Solutions já está monitorando este ataque em tempo real e recomenda ação imediata.

Essa não é uma vulnerabilidade teórica. Relatos de exploração envolvem cadeias de ataque contra estações de trabalho Windows onde o invasor, a partir de uma única página HTML maliciosa, consegue executar código arbitrário dentro da sandbox do navegador e, em seguida, escalar privilégios para comprometer todo o endpoint. Em paralelo, outras quatro falhas foram adicionadas ao KEV hoje, incluindo vulnerabilidades em Arista EOS, Cisco Catalyst SD-WAN, LiteLLM e Check Point VPN — todas com exploração ativa confirmada.

O que torna a CVE-2026-11645 particularmente perigosa é a ubiquidade do Chromium. Estima-se que mais de 65% do tráfego web corporativo passe por navegadores baseados nesse motor. Com um zero-day ativo, qualquer página patrocinada, anúncio malicioso ou link de spear-phishing pode ser o vetor inicial de um comprometimento completo. A remediação não pode esperar o próximo ciclo de patch mensal.

Neste artigo técnico, vamos dissecar a CVE-2026-11645 em profundidade: o mecanismo da falha no V8, quais versões estão vulneráveis, como o ataque se materializa no mundo real e, mais importante, quais passos sua equipe de segurança deve executar AGORA para fechar essa janela de exploração. Também abordaremos brevemente as outras quatro falhas do KEV de hoje, já que muitas organizações podem enfrentar múltiplas superfícies de ataque simultâneas.

O que é a CVE-2026-11645

Campo Detalhe
CVE ID CVE-2026-11645
CVSS Score 8.8 — ALTO
Vetor de Ataque Network (Remoto)
Produtos Afetados Google Chrome versões anteriores a 126.0.6478.114; Microsoft Edge < 126.0.6478.56; Opera < 112.0.5197.45; Vivaldi < 6.8.3389.44; Brave < 1.68.114
Tipo de Vulnerabilidade CWE-125 / CWE-787 — Out-of-bounds Read & Write
Data de Publicação 09/06/2026
Patch Disponível Sim — Google Chrome 126.0.6478.114+ lançado em 09/06
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

A CVE-2026-11645 é uma vulnerabilidade de leitura e escrita fora dos limites (out-of-bounds read & write) no motor JavaScript V8 do Chromium. Esse tipo de falha ocorre quando o código do V8 não valida corretamente os limites de acesso a um buffer de memória durante a compilação JIT (Just-In-Time). Um invasor remote pode explorar essa condição para corromper a memória do processo renderizador e, consequentemente, executar código arbitrário — mesmo dentro do sandbox do navegador. Embora o sandbox restrinja o acesso direto ao sistema operacional, a execução de código no processo renderizador é o primeiro passo em cadeias de ataque mais complexas que frequentemente utilizam um segundo exploit para escalar privilégios.

Produtos e Versões Afetados

Diferentemente de vulnerabilidades restritas a um único navegador, a CVE-2026-11645 tem um alcance amplíssimo devido à adoção do Chromium como base. Abaixo, listamos os produtos e versões mínimas corrigidas. Qualquer versão anterior a estas listadas está vulnerável:

  • 🔴 Google Chrome: versões anteriores a 126.0.6478.114 (Windows, macOS, Linux)
  • 🔴 Microsoft Edge: versões anteriores a 126.0.6478.56 (Windows, macOS, Linux)
  • 🟠 Opera: versões anteriores a 112.0.5197.45 (Windows, macOS, Linux)
  • 🟠 Vivaldi: versões anteriores a 6.8.3389.44 (Windows, macOS, Linux)
  • 🟠 Brave: versões anteriores a 1.68.114 (Windows, macOS, Linux)
  • 🟠 Electron apps: todos os aplicativos baseados em Electron que utilizam o Chromium V8 anterior à correção. Isso inclui Slack, Discord, Visual Studio Code, Signal Desktop, Spotify, entre milhares de outros. A verificação deve ser feita caso a caso.

Para ambientes corporativos, o maior risco está em estações de trabalho Windows que utilizam Edge ou Chrome como navegador padrão. Na JRT Technology Solutions, nossos scanners de vulnerabilidades já foram atualizados com assinaturas para detectar versões vulneráveis em toda a frota — e estamos recomendando varredura emergencial para todos os clientes.

Como o Ataque Funciona

O vetor de ataque da CVE-2026-11645 é enganosamente simples e eficaz. O invasor prepara uma página HTML contendo JavaScript especialmente ofuscado para disparar a condição de out-of-bounds no V8. Essa página pode ser entregue de várias formas:

  • Spear-phishing por e-mail: o link malicioso é enviado diretamente a executivos ou funcionários de setores estratégicos.
  • Anúncios maliciosos (malvertising): redes de anúncios comprometidas exibem o exploit em sites legítimos.
  • Sites comprometidos: páginas legítimas que foram injetadas com iframes ou scripts maliciosos.
  • Anexos HTML: arquivos .html enviados diretamente disfarçados como documentos ou faturas.

Quando a vítima acessa a página com um navegador vulnerável, o motor V8 processa o JavaScript malicioso. A falha de out-of-bounds permite que o invasor leia e escreva em regiões de memória adjacentes ao array ou objeto JavaScript manipulado. Isso corrompe a estrutura interna do V8 e, com técnicas de heap spraying e rop chains, o invasor consegue desviar o fluxo de execução para um shellcode que ele próprio forneceu. O resultado: execução de código arbitrário no contexto do processo renderizador. Embora o sandbox do Chromium impeça o acesso direto a arquivos do sistema, o invasor pode usar a segunda etapa — frequentemente outro exploit para escalar privilégios por meio de uma vulnerabilidade do kernel Windows — para obter controle total do endpoint.

Relatos de exploração ativa indicam o uso de campanhas direcionadas contra organizações de tecnologia, finanças e governo. Os grupos de ameaça associados incluem APT29 (Nobelium) e grupos de ransomware como BlackCat/ALPHV, que estão utilizando essa CVE como ponto de entrada para implantação de backdoors e exfiltração de dados.

Impacto Real para Empresas

O impacto da CVE-2026-11645 exploração ativa vulnerabilidade não se limita ao comprometimento de estações de trabalho. Em um cenário corporativo típico, as consequências práticas incluem:

  • 🔴 Exfiltração de dados: com execução de código no endpoint, o invasor pode ler arquivos locais, capturar credenciais de sessões autenticadas e roubar tokens de acesso a serviços cloud.
  • 🔴 Movimentação lateral: a partir de um único endpoint comprometido, o invasor pode utilizar ferramentas como Cobalt Strike para se mover pela rede interna, comprometendo servidores e sistemas críticos.
  • 🟠 Impacto regulatório: para organizações sujeitas à LGPD, GDPR, PCI-DSS ou HIPAA, um incidente dessa magnitude pode resultar em multas significativas, notificações obrigatórias e danos à reputação.
  • 🟠 Interrupção de operações: em ataques de ransomware, o invasor pode criptografar dados críticos após o comprometimento inicial, paralisando operações por dias ou semanas.

Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas — e monitoramos alertas CISA KEV em tempo real. Para esta vulnerabilidade, nossas equipes já iniciaram a varredura de todos os endpoints Windows, identificando versões vulneráveis do Chrome, Edge e aplicações Electron. O tempo médio de exposição estimado para organizações que não aplicarem o patch nas próximas 48 horas é de alto risco.

Contexto Histórico e Comparativo

A CVE-2026-11645 não é um caso isolado. Ela se junta a uma longa linhagem de vulnerabilidades críticas no motor V8 que foram ativamente exploradas. Para efeito de comparação, vale lembrar de casos emblemáticos:

  • CVE-2024-0517 (janeiro/2024): também uma out-of-bounds no V8, com CVSS 8.8, explorada ativamente por grupos de ransomware. O patch levou em média 5 dias para ser aplicado em 50% das organizações.
  • CVE-2023-2033 (abril/2023): type confusion no V8, CVSS 9.6, usada em cadeias de ataque contra o Chrome. Na época, o CISA emitiu ordem de remediação emergencial para agências federais dos EUA.
  • CVE-2022-1096 (março/2022): outra type confusion no V8, com exploração ativa antes mesmo do patch ser amplamente distribuído.

O que diferencia a CVE-2026-11645 é a velocidade com que foi adicionada ao CISA KEV — menos de 24 horas após a publicação do patch. Isso indica que o exploit já estava sendo utilizado em ataques reais antes mesmo da divulgação pública. Esse é um padrão crescente: grupos de ameaças estão desenvolvendo exploits durante o período de embargo entre a descoberta e o patch.

Comparativamente, as outras quatro falhas adicionadas ao KEV hoje também merecem atenção:

CVE Produto Tipo de Ataque Impacto
CVE-2026-7473 Arista EOS Incomplete Comparison — decapsulação incorreta de pacotes 🔴 Comprometimento de switches de rede
CVE-2026-20245 Cisco Catalyst SD-WAN Manager Improper Encoding — execução de comandos como root via arquivo 🔴 Comprometimento total do SD-WAN
CVE-2026-42271 BerriAI LiteLLM Command Injection — execução remota de comandos por autenticados 🔴 Comprometimento de servidores LLM
CVE-2026-50751 Check Point Security Gateway Improper Authentication em IKEv1 — bypass de VPN 🔴 Acesso não autenticado à VPN corporativa

Para organizações que utilizam Arista em data centers, Cisco SD-WAN em filiais, LiteLLM para orquestração de modelos de IA e Check Point como gateway de segurança, o cenário é ainda mais crítico — múltiplas superfícies de ataque simultâneas exigem coordenação urgente dos times de segurança.

Como se Proteger — Passos de Mitigação

A CVE-2026-11645 tem patch disponível desde 09 de junho de 2026. Não há desculpas para protelação. Siga este roteiro de mitigação imediatamente:

  1. Atualize TODOS os navegadores Chromium imediatamente:
    • Chrome: Settings > Help > About Google Chrome — aguarde a atualização para 126.0.6478.114+ e reinicie.
    • Edge: Settings > About Microsoft Edge — atualize para 126.0.6478.56+.
    • Opera, Brave, Vivaldi: procedimento similar na seção “About” de cada navegador.
  2. Varra toda a frota de endpoints: utilize ferramentas de gerenciamento de vulnerabilidades para identificar versões desatualizadas. Na JRT Technology Solutions, nosso serviço de gestão de vulnerabilidades realiza varredura automatizada completa e gera relatórios de compliance em tempo real.
  3. Implemente políticas de atualização forçada via GPO ou MDM:
    • Para Windows: configure Group Policy para Chrome e Edge forçarem atualização na próxima reinicialização.
    • Para dispositivos móveis e remotos: utilize uma solução de MDM corporativo (a JRT oferece MDM corporativo com aplicação de patches remotos) para disparar atualizações OTA.
  4. Atualize aplicações Electron: para Slack, Discord, VS Code, e outros, verifique a versão do Chromium embarcado. Muitas vezes, a atualização do aplicativo principal traz o V8 corrigido. Caso contrário, considere isolar esses aplicativos até que o fornecedor publique a correção.
  5. Ative restrições de navegação temporárias: enquanto a varredura não é concluída, restrinja o acesso a sites não essenciais via proxy e políticas de URL filtering. Bloqueie downloads automáticos de arquivos HTML e scripts em estações de alto risco.
  6. Monitore logs de eventos: verifique Event ID do Windows e logs de antivírus/EDR para possíveis sinais de exploração. Procure por processos do navegador com comportamento anômalo, como spawn de cmd.exe ou powershell.exe a partir de child processes do Chrome/Edge.
  7. Comunique a equipe de segurança e usuários: emita um comunicado interno alertando sobre a campanha ativa e instruindo a não clicar em links suspeitos ou abrir anexos HTML inesperados.

Verificação Pós-Patch

Após aplicar as atualizações, é essencial verificar que a correção foi efetivamente instalada. Execute os seguintes passos de verificação:

  • Confirme a versão do navegador: em cada endpoint, acesse chrome://version/ (ou edge://version/) e compare com as versões corrigidas listadas acima.
  • Execute varredura de confirmação: utilize um scanner de vulnerabilidades com a assinatura atualizada para a CVE-2026-11645. Na JRT Technology Solutions, disponibilizamos um script de verificação remota para frotas Windows via PowerShell que valida a instalação do patch em segundos.
  • Teste a mitigação: para ambientes críticos, execute um teste controlado em estações piloto usando uma PoC disponível em repositórios de segurança (apenas em ambiente isolado) para confirmar que o exploit não funciona mais.
  • Reavalie regras de firewall e IPS: verifique se suas assinaturas de detecção de intrusão (Suricata, Snort, etc.) já cobrem padrões de exploração conhecidos para esta CVE. Atualize se necessário.

Conclusão

A CVE-2026-11645 exploração ativa vulnerabilidade representa uma ameaça real e imediata para toda organização que utiliza navegadores baseados em Chromium — ou seja, praticamente todas. Com exploração ativa confirmada pelo CISA KEV, múltiplos grupos de ameaça utilizando-a em campanhas direcionadas e um patch disponível desde ontem, a janela de exposição segura se fecha rapidamente.

Não espere o próximo ciclo de atualização. Não confie apenas que os usuários finais vão reiniciar o navegador. Tome controle centralizado da remediação agora. Na JRT Technology Solutions, oferecemos gestão de vulnerabilidades, MDM corporativo e monitoramento de segurança 24×7 para garantir que sua frota esteja sempre protegida contra CVEs ativamente exploradas. Nosso SOC monitora alertas CISA KEV em tempo real e dispara ações corretivas automatizadas — reduzindo o tempo de exposição de dias para minutos.

Se sua equipe precisa de suporte para coordenar a varredura e o patch em larga escala, ou se deseja implementar um processo contínuo de gestão de CVEs para não ser pego desprevenido novamente, entre em contato conosco. A segurança começa com ação imediata.

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.
CVE-2026-48907: Exploração Ativa de Vulnerabilidade em Joomla Alerta Máximo

CVE-2026-48907: Exploração Ativa de Vulnerabilidade em Joomla Alerta Máximo

CVE-2026-48907: Falha HIGH no Joomla Widget Factory com Exploração Ativa

CVE-2026-48907: Falha HIGH no Joomla Widget Factory com Exploração Ativa

CVE-2026-54420: ALTA Severidade — Exploração Ativa em LiteSpeed cPanel Plugin

CVE-2026-54420: ALTA Severidade — Exploração Ativa em LiteSpeed cPanel Plugin

CVE-2026-35273 — Exploração Ativa em Oracle PeopleSoft: Autenticação Crítica Ausente

CVE-2026-35273 — Exploração Ativa em Oracle PeopleSoft: Autenticação Crítica Ausente

CVE-2026-35273: Oracle PeopleSoft — Falha Crítica de Autenticação Sob Ataque Ativo

CVE-2026-35273: Oracle PeopleSoft — Falha Crítica de Autenticação Sob Ataque Ativo

CVE-2026-35273: PeopleTools sem Autenticação — ALERTA MÁXIMO

CVE-2026-35273: PeopleTools sem Autenticação — ALERTA MÁXIMO