CVE-2026-7953Google Chrome 浏览器在 148.0.7778.96 之前的版本中,Omnibox 组件存在对不可信输入验证不足的问题。远程攻击者可通过精心构造的恶意网络流量,诱导用户交互,从而注入任意脚本或 HTML。这可能导致通用跨站脚本攻击 (UXSS),使攻击者能够绕过浏览器的同源策略,窃取用户的敏感信息。
该漏洞的根本原因在于 Google Chrome 的 Omnibox 组件在处理特定类型的网络流量或用户输入数据时,未能实施充分的验证机制。Omnibox 作为浏览器的核心地址栏组件,负责解析 URL 和搜索请求。攻击者利用这一缺陷,可以构造特制的恶意 payload。当用户在受影响版本的 Chrome 浏览器中与该 payload 进行交互(例如点击链接、输入特定字符)时,浏览器会将未经过滤的恶意数据解析为可执行的脚本代码。这种攻击被归类为通用跨站脚本 (UXSS),因为它不依赖于目标 Web 应用程序自身的安全漏洞,而是利用了浏览器层面的缺陷,从而成功绕过同源策略 (SOP)。一旦利用成功,攻击者即可读取任意域名的 Cookie、修改页面内容或窃取用户的私密数据。