CVE-2026-8564

Incorrect security UI in Downloads in Google Chrome on Android and Mac prior to 148.0.7778.168 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium)

公开： 2026-05-14 最后更新： 2026-05-21 分配方： [email protected] 来源： [email protected]

NVD 状态：Analyzed，CVE 状态： published

查看： NVD, CVE.org, EUVD, CNNVD

漏洞分析与风险评定（CVE-2026-8564）

EPSS CVSS CWE GHSA Affected OS 跟踪

结论预警: CVE-2026-8564 综合评估为低风险（23/100）：CVSS 技术影响为中级，利用概率偏低（EPSS 0.06%）强制指令: 持续跟踪利用情报与 EPSS 变化，并适时复评优先级。

风险随态势动态变化；本站持续评估并同步更新本页展示内容。

CVE-2026-8564 的 EPSS（利用预测评分）

EPSS 日更估计相对被利用可能性；百分位表示该 CVE 在已评分漏洞中的相对排名（越高表示相对更严重）。

#	日期	旧 EPSS 分数	新 EPSS 分数	变化（新 − 旧）
1	2026-05-15	—	0.06%	—

完整 EPSS 历史（共 1 条）

CVE-2026-8564 的 CVSS 指标

该 CVE 的 CVSS 指标。

底座分	版本	严重度	向量	可利用性	影响	分数来源
4.2	3.1	MEDIUM	`CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:L` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:H) 即便网络可达，也常要卡窗口、凑负载或特定版本组合才打得响。权限要求 (PR:N) 不必事先登录或提权，匿名会话也可能成为跳板。用户交互 (UI:R) 需要一次明确的用户动作（安装、改配置、打开恶意文档等）才会落地。作用域 (S:U) 破坏局限在脆弱组件原本的安全权限与信任域之内。机密性影响 (C:L) 可能外泄部分字段或样本数据，但难以形成“整库拖走”的局面。完整性影响 (I:N) 对记录真实性与不可否认性的破坏可忽略。可用性影响 (A:L) 出现明显延迟、间歇性故障或局部功能不可用，但可用运维手段缓解。	1.6	2.5	134c704f-9b21-4f2e-91b3-4a467353bcc0

CVE-2026-8564 的弱点枚举

CWE-451 MITRE ↗

CVE-2026-8564 的 GitHub 安全公告

GHSA-xjfj-rmm4-g627 · 严重度： medium — Incorrect security UI in Downloads in Google Chrome on Android and Mac prior to 148.0.7778.168...

CVE-2026-8564 的 OS 跟踪

vendor	priority	summary	link
`debian`	end-of-life	CVE-2026-8564 end-of-life priority: Debian including 1 source packages (chromium), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 4, open 1.	https://security-tracker.debian.org/tracker/CVE-2026-8564
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2026-8564
`ubuntu`	medium	CVE-2026-8564 medium priority: Ubuntu including 1 source packages (chromium-browser), 5 status rows across 5 suites (jammy, noble, questing, resolute, upstream): not-affected 4, released 1.	https://ubuntu.com/security/CVE-2026-8564

CVE-2026-8564 的影响软件 / 配置

厂商	产品	版本	原始 CPE
google	chrome	< 148.0.7778.168	cpe:2.3:a:google:chrome::::::::

CVE-2026-8564 的参考链接

URL	标签
https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop_12.html	Vendor Advisory
https://issues.chromium.org/issues/418273622	Permissions Required

cvelogic Threat Intelligence