CVE-2025-6179

چکیده

یک آسیب‌پذیری بحرانی در مدیریت افزونه‌های ChromeOS (نسخه 16181.27.0) شناسایی شده است. این آسیب پذیری به مهاجم لوکال امکان غیرفعال کردن افزونه‌ها و دسترسی به حالت توسعه‌دهنده را از طریق ابزارهای ExtHang3r و ExtPrint3r می‌دهد.

توضیحات

این آسیب‌پذیری در سیستم مدیریت افزونه‌های ChromeOS (نسخه 16181.27.0) به دلیل پیکربندی نادرست مجوزهای پیش‌فرض (CWE-276) رخ می‌دهد. یک مهاجم لوکال می‌تواند با استفاده از ابزارهای مخرب ExtHang3r وExtPrint3r، افزونه‌های مدیریت‌شده مانند افزونه فیلترینگ iboss را غیرفعال کند، به حالت توسعه‌دهنده (Developer Mode)  دسترسی پیدا کرده و افزونه‌های جدیدی را بارگذاری کند. این حمله نیازی به دسترسی شبکه نداشته، اما به دسترسی لوکال به دستگاه و تعامل کاربر (مانند اجرای ابزار یا بارگذاری صفحه وب مخرب) وابسته است. طبق اعلام Google ،یک پچ کوتاه‌مدت  به منظور کاهش ریسک اعمال شده و تیم  ChromeOS در حال کار روی یک راهکار قوی تر و بلند مدت هستند که قرار است در نسخه M135  منتشر شود.  این آسیب‌پذیری تنها بر دستگاه‌های مدیریت‌شده Chrome تأثیر گذاشته و در تاریخ 16 ژوئن 2025 به‌طور عمومی افشا شده است .

CVSS

لیست محصولات آسیب پذیر 

لیست محصولات بروز شده

پچ کوتاه‌مدت اعمال شده، راهکار دائمی در نسخه M135 ChromeOS  منتشر خواهد شد.

نتیجه گیری

تا زمان انتشار به‌روزرسانی کامل، دسترسی به حالت توسعه‌دهنده را محدود کرده و ابزارهای مخرب مانند ExtHang3r و ExtPrint3r را در دستگاه‌های مدیریت‌شده مسدود نمایید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-6179
2. https://www.cvedetails.com/cve/CVE-2025-6179/
3. https://issuetracker.google.com/issues/399652193
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6179
5. https://vuldb.com/?id.312681
6. https://nvd.nist.gov/vuln/detail/CVE-2025-6179
7. http://cwe.mitre.org/data/definitions/276.html