つみかさね

CVE-2026-12027

Critical(9.6)

CVE-2026-12027 — Google Chrome ヘッドレスモード サンドボックス脱出

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle< 149.0.7827.115

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Chromeのバージョンを確認する(chrome://version)
  2. 2149.0.7827.115未満の場合、最新版へ更新する
  3. 3サーバーサイドのPuppeteer・Playwright環境では利用中のChrome/Chromiumバージョンを確認し更新する

影響対象

Google Chrome利用者ヘッドレスChrome(Puppeteer・Playwright)利用者

補足

  • -Chrome自動更新が有効な環境では既に更新済みの可能性があります
CVEChromeGoogleサンドボックスブラウザ

概要

Google Chrome のヘッドレスモード(Headless)に不適切な実装が存在し、レンダラープロセスを侵害した攻撃者がサンドボックスから脱出できる脆弱性が確認されました。CVSSスコアは9.6(CRITICAL)です。

細工されたHTMLページを介して悪用される可能性があります。Chromiumセキュリティチームは本脆弱性をセキュリティ深刻度「High」として分類しています。

CVSSベクトル

項目
スコア9.6 (CRITICAL)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)要 (R)
スコープ (S)変更あり (C)
CWECWE-250(不必要な権限での実行), CWE-693

影響を受けるソフトウェア

製品ベンダー影響バージョン
Google ChromeGoogle149.0.7827.115 未満

ヘッドレスモードを利用しているサーバーサイドChrome環境(Puppeteer、Playwright等)においても注意が必要です。

修正バージョンと回避策

修正バージョン: Chrome 149.0.7827.115 以降

デスクトップ環境ではChromeの自動更新を確認してください。サーバーサイドのヘッドレスChrome環境(Puppeteer等)では、明示的に最新バージョンを指定してアップデートしてください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12027
Chrome Releases Blog:https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_01962725236.html
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。