- شناسه CVE-2025-48883 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: می 30, 2025
- به روز شده: می 30, 2025
- امتیاز: 5.3
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع XSS در کتابخانه Chrome PHP شناسایی شده است که ناشی از عدم رمزگذاری مناسب در عبارات CSS Selectorمیباشد. این کتابخانه به توسعهدهندگان امکان میدهد مرورگر Chrome یا Chromium را بهصورت headless (بدون رابط کاربری گرافیکی) از طریق PHP کنترل و اجرا کنند.
توضیحات
یک آسیبپذیری در محصول Chrome PHP تا نسخه 1.13.x شناسایی شده است که بهعنوان یک ضعف امنیتی در رمزگذاری ورودی طبقهبندی میشود. در این آسیبپذیری، مقادیر استفادهشده در CSS Selector بهدرستی رمزگذاری نمیشوند و این ضعف میتواند منجر به اجرای کد مخرب از نوع XSS (Cross-site Scripting) شود. حمله از راه دور ممکن بوده و نیازی به احراز هویت ندارد، اما به تعامل کاربر وابسته است. این آسیب پذیری در نسخه 1.14.0 پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at < 1.14.0 | chrome |
لیست محصولات بروز شده
| Versions | Product |
| 1.14.0 | chrome |
نتیجه گیری
به کاربران توصیه میشود هر چه سریعتر به نسخه 1.14.0 بهروزرسانی کرده یا ورودیهای CSS Selector را به صورت دستی رمزگذاری کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-48883
- https://www.cvedetails.com/cve/CVE-2025-48883/
- https://github.com/chrome-php/chrome/security/advisories/GHSA-3432-fmrf-7vmh
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48883
- https://vuldb.com/?id.310713
- https://nvd.nist.gov/vuln/detail/CVE-2025-48883
- https://github.com/chrome-php/chrome/pull/691
- https://github.com/chrome-php/chrome/commit/34b2b8d1691f4e3940b1e1e95d388fffe81169c8
- https://cwe.mitre.org/data/definitions/79.html
