CVE-2026-3909 a CVE-2026-3910 (obě CVSS 8.8) jsou zero-day zranitelnosti v Google Chrome. CVE-2026-3909 se nachází v grafické knihovně Skia: prostřednictvím záměrně upravené stránky může útočník zápisem za hranice paměti vytvořit podmínky pro spuštění libovolného kódu. CVE-2026-3910 postihuje JavaScript engine V8 a umožňuje spuštění kódu uvnitř sandboxu prohlížeče. Google potvrdil aktivní zneužití obou zranitelností ještě před vydáním záplaty. Záplata je dostupná v Chrome verzi 146.0.7680.75/76 – po stažení je nutný restart prohlížeče, jinak záplata nevstoupí v platnost. Aktuální verzi prohlížeče lze ověřit na chrome://settings/help. Prohlížeče na bázi Chromium (Edge, Opera, Brave) vydávají záplaty zpravidla s krátkým zpožděním po Chromu.

CVE-2025-47813 postihuje Wing FTP Server ve verzích starších než 7.4.4. Na přihlašovací stránce serveru lze prostřednictvím záměrně prodloužené hodnoty v cookie UID vyvolat chybovou zprávu, která odhalí lokální instalační cestu aplikace na serveru – informaci, která výrazně usnadňuje plánování navazujících kroků útoku. Záplata je dostupná ve verzi 7.4.4.