Qué es CVE-2026-0628
CVE-2026-0628 es la primera vulnerabilidad de seguridad importante que Google parcheó en Chrome en 2026. Se trata de un fallo de aplicación insuficiente de políticas (insufficient policy enforcement) en el componente WebView del navegador, concretamente en la implementación de la etiqueta <webview>. Está catalogada con severidad alta y, según la National Vulnerability Database, recibió una puntuación CVSS 8.8.
El problema reside en que ciertas reglas de seguridad que aíslan el contenido de las extensiones de las páginas privilegiadas del navegador no se aplican de forma consistente. Aprovechando esa brecha, una extensión maliciosa con permisos básicos podría inyectar scripts o contenido HTML en contextos privilegiados que normalmente le estarían vedados, saltándose así las fronteras de seguridad que separan el contenido de extensión de las páginas internas de Chrome.
A quién afecta
El fallo afecta a las versiones de Google Chrome anteriores a 143.0.7499.192 en Windows, macOS y Linux. Como Chromium es la base de muchos navegadores derivados (Edge, Brave, Opera, Vivaldi) y de los WebView que integran numerosas aplicaciones —incluidas las de Android—, la superficie de exposición es muy amplia: cualquier escenario que renderice contenido web mediante el motor de Chromium puede heredar el componente vulnerable hasta su actualización.
El investigador Gal Weizman, del equipo Unit 42 de Palo Alto Networks, descubrió y reportó el problema el 23 de noviembre de 2025. Según su análisis, el fallo podía permitir que una extensión con permisos básicos tomara el control del nuevo panel de Gemini Live integrado en Chrome, lo que ilustra el tipo de abuso de privilegios que habilitaba.
Gravedad
La puntuación CVSS 8.8 sitúa este fallo en el rango alto. Su peligro real depende de un requisito previo: el atacante necesita que la víctima instale una extensión maliciosa. Esa condición reduce la explotabilidad inmediata frente a un fallo de ejecución remota sin interacción, pero no la elimina: las extensiones fraudulentas o secuestradas son un vector habitual, y una extensión aparentemente inofensiva con permisos mínimos podría escalar su alcance abusando de esta brecha. Es importante destacar que, según Google, en el momento del parche no constaba explotación activa de esta vulnerabilidad.
Mitigación y parche
La solución es actualizar Chrome a la rama Stable 143.0.7499.192 (o posterior) en Windows, macOS y Linux. La mayoría de instalaciones de escritorio se actualizan de forma automática, pero conviene forzar la comprobación desde Configuración → Información de Chrome y reiniciar el navegador para que el parche surta efecto. En entornos gestionados y en aplicaciones que empotran WebView/Chromium conviene revisar la versión del motor y desplegar la actualización correspondiente. Como buena práctica permanente, audita y limita las extensiones instaladas: instala solo las imprescindibles y desde fuentes de confianza, revisa sus permisos y elimina las que no uses.
Si gestionas dispositivos basados en Chromium, puedes consultar nuestra ficha de Android, uno de los sistemas que más depende del motor de renderizado de Chrome.