V8 is de JavaScript-engine die onder andere Google Chrome gebruikt. De kwetsbaarheid CVE-2025-6554 werd op 25 juni gemeld door een onderzoeker van de Google Threat Analysis Group, die zich richt op door overheden gesponsorde aanvallen. De kwetsbaarheid heeft een hoge impact en kan aanvallers in staat stellen om code binnen de browsercontext uit te voeren, wat kan leiden tot het stelen van gevoelige gebruikersdata of het ontsnappen uit de Chrome-sandbox. Hoewel een systeemovername niet direct mogelijk is zonder aanvullende kwetsbaarheden, vormt dit toch een serieus risico.

Google heeft beveiligingsupdates uitgebracht voor Chrome versie 138.0.7204.96/.97 (Windows), 138.0.7204.92/.93 (macOS) en 138.0.7204.96 (Linux). Automatische updates kunnen maximaal zeven dagen duren, daarom kunnen gebruikers beter handmatig controleren op updates. Voor Microsoft Edge, dat eveneens op Chromium is gebaseerd, is nog geen patch beschikbaar. Eerder waarschuwde Google ook al voor een ander actief misbruikt V8-lek.