CISA advierte sobre vulnerabilidad crítica en Chrome y exige parches urgentes a agencias federales

La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha añadido una nueva vulnerabilidad de Google Chrome a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), indicando que el fallo está siendo activamente aprovechado por atacantes en la red.

Identificada como CVE-2025-4664, esta vulnerabilidad fue descubierta recientemente por los investigadores de seguridad de Solidlab. El problema radica en una aplicación insuficiente de políticas en el componente Loader de Chrome, lo que permite a actores maliciosos filtrar datos entre orígenes a través de páginas HTML especialmente diseñadas.

Según el registro de la Base Nacional de Datos de Vulnerabilidades (NVD), los parámetros de consulta afectados podrían contener datos sensibles —como en los flujos de autenticación OAuth— y ser utilizados para secuestrar cuentas de usuario (Account Takeover).

Aunque Google ya ha lanzado un parche para corregir el problema, CISA ha advertido que la vulnerabilidad sigue siendo explotada activamente. Por ello, ha ordenado a las agencias ejecutivas civiles del gobierno federal (FCEB) que actualicen Chrome dentro de un plazo de tres semanas.

Este caso subraya la importancia de aplicar rápidamente actualizaciones de seguridad en navegadores y otros software esenciales para evitar filtraciones y accesos no autorizados a información sensible.