- شناسه CVE-2025-0448 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: ژانویه 15, 2025
- به روز شده: ژانویه 15, 2025
- امتیاز: 4.3
- نوع حمله: T1566.003
- اثر گذاری: Spoofing
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیبپذیری بخشی ناشناخته از Compositing را تحت تأثیر قرار میدهد و به مهاجم امکان میدهد از طریق یک صفحه HTML مخرب، حمله Clickjacking را اجرا کند که میتوان آن را از راه دور اجرا کرد. به کاربران توصیه میشود که نسخه آسیبپذیر را بهروزرسانی کنند.
توضیحات
بر اساس CWE-79، این نقص به دلیل نمایش نادرست اطلاعات حساس در رابط کاربری رخ میدهد، که باعث میشود اطلاعات یا منبع آن مبهم یا جعل شود. این نوع آسیبپذیری معمولاً در حملات فیشینگ مورد سوءاستفاده قرار میگیرد و میتواند یکپارچگی اطلاعات را تحت تأثیر قرار دهد.
اکسپلویت این نقص آسان در نظر گرفته شده و حمله میتواند از راه دور انجام شود. برای سوءاستفاده از این آسیبپذیری نیازی به احراز هویت نیست، اما تعامل کاربر (مانند کلیک کردن یا انجام یک حرکت خاص در رابط کاربری) مورد نیاز است. این حمله مطابق با تکنیک T1566.003 در چارچوب MITRE ATT&CK طبقهبندی شده است.
اسکنر امنیتی Nessus پلاگینی با شناسه 214138 ارائه کرده که به شناسایی این نقص امنیتی در محیطهای آسیبپذیر کمک میکند.
CVSS
| Score | Severity | Version | Vector String |
| 4.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected from 132.0.6834.83 before 132.0.6834.83 | Chrome |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 132.0.6834.83 | Chrome |
نتیجه گیری
با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیبپذیری برطرف میشود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0448
- https://www.cvedetails.com/cve/CVE-2025-0448/
- https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0448
- https://vuldb.com/?id.291923
- https://nvd.nist.gov/vuln/detail/CVE-2025-0448
- https://cwe.mitre.org/data/definitions/79.html
