CVE-2025-0443

چکیده

عدم اعتبارسنجی کافی داده‌ها در افزونه‌ها (Extensions) در گوگل کروم نسخه‌های قبل از 132.0.6834.83 به یک مهاجم راه دور این امکان را می‌دهد که با متقاعد کردن کاربر برای انجام برخی حرکات خاص در رابط کاربری، افزایش دسترسی‌ها (Privilege Escalation) را از طریق یک صفحه HTML که در آن تغییرات ایجاد شده، انجام دهد.

توضیحات

این آسیب‌پذیری مربوط به یک کد ناشناخته در بخش افزونه‌ها (Extensions) است و منجر به اعتبارسنجی ورودی (input validation) نادرست می‌شود. حمله می‌تواند از راه دور انجام شود. توصیه می‌شود که نسخه‌ی آسیب‌دیده به‌روزرسانی شود. این آسیب‌پذیری به یک تابع ناشناخته در بخش افزونه‌ها مربوط می‌شود. محصول ورودی یا داده‌ها را دریافت می‌کند، اما آن‌ها را به درستی اعتبارسنجی نمی‌کند یا به اشتباه اعتبارسنجی می‌کند، به طوری که ورودی ویژگی‌های لازم برای پردازش ایمن و صحیح داده‌ها را ندارد. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

اکسپلویت آن به نظر می‌رسد آسان باشد. حمله می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد. فقط نیاز است که قربانی با رابط کاربری تعامل کند.

اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214233 (Debian dsa-5844 : chromium – security update) ارائه می‌دهد که به شناسایی این آسیب‌پذیری در محیط هدف کمک می‌کند.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0443
2. https://www.cvedetails.com/cve/CVE-2025-0443/
3. https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0443
5. https://vuldb.com/?id.291921
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0443
7. https://cwe.mitre.org/data/definitions/79.html