CVE-2025-1915

چکیده

یک آسیب‌پذیری در مرورگر Google Chrome در سیستم‌عامل ویندوز شناسایی شده است. این مشکل، بخشی نامشخص از DevTools را تحت تأثیر قرار می‌دهد و منجر به عبور از مسیر (Path Traversal) می‌شود. این آسیب‌پذیری با کد CVE-2025-1915 ثبت شده است و امکان حمله از راه دور را فراهم می‌کند. توصیه می‌شود که مرورگر را به آخرین نسخه به‌روزرسانی کنید.

توضیحات

بر اساس استاندارد CWE-22، این مشکل زمانی رخ می‌دهد که یک محصول از داده‌های ورودی خارجی برای ساخت مسیر فایل یا دایرکتوری استفاده می‌کند، اما به درستی عناصر خاصی را که می‌توانند باعث خروج مسیر از محدوده مجاز شوند، خنثی نمی‌کند. این آسیب‌پذیری محرمانگی (Confidentiality)، یکپارچگی (Integrity) و در دسترس بودن (Availability) سیستم را تحت تأثیر قرار می‌دهد.

در نسخه‌های قبل از 134.0.6998.35 در مرورگر Google Chrome در ویندوز، یک افزونه مخرب Chrome می‌تواند محدودیت‌های دسترسی به فایل‌ها را دور بزند و از این آسیب‌پذیری سوءاستفاده کند.

استفاده از این آسیب‌پذیری دشوار است و حمله می‌تواند از راه دور انجام شود. هیچ‌گونه احراز هویتی (Authentication) برای اکسپلویت این مشکل لازم نیست، اما حمله نیازمند تعامل کاربر (User Interaction) است.

بر اساس MITRE ATT&CK، تکنیک مورد استفاده در این حمله T1006 است.

ابزار امنیتی Nessus یک پلاگین با شناسه 232139 ارائه داده است که می‌تواند این آسیب‌پذیری را در محیط‌های هدف شناسایی کند.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی مرورگر به نسخه 134.0.6998.35 این آسیب‌پذیری را برطرف می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1915
2. https://www.cvedetails.com/cve/CVE-2025-1915/
3. https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1915
5. https://vuldb.com/?id.298595
6. https://nvd.nist.gov/vuln/detail/CVE-2025-1915
7. https://cwe.mitre.org/data/definitions/22.html