CVE-2025-6557

چکیده

این آسیب‌پذیری در DevTools مرورگر Google Chrome روی ویندوز شناسایی شده است. این آسیب پذیری  به مهاجم راه دور اجازه می‌دهد با ترغیب کاربر به انجام عملکرد خاص در رابط کاربری (UI gestures)، کد دلخواه اجرا کند.

توضیحات

این آسیب‌پذیری در ابزارهای توسعه‌دهنده (DevTools) مرورگر Google Chrome روی ویندوز، در نسخه‌های قبل از 138.0.7204.49، به دلیل اعتبارسنجی ناکافی داده‌ها (CWE-1021) در رابط کاربری رخ می‌دهد. مهاجم راه دور می‌تواند با ترغیب کاربر به انجام عملکرد خاص در رابط کاربری (مانند کلیک یا تعامل با صفحه) و استفاده از یک صفحه HTML دستکاری‌شده، کد دلخواه را اجرا کند. این آسیب پذیری نیازی به احراز هویت نداشته، اما به تعامل کاربر (مانند کلیک) وابسته بوده و شدت آن به دلیل محدودیت‌های بهره‌برداری، پایین ارزیابی شده است. همچنین سه اصل امنیت شامل محرمانگی (confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری (availability) را تهدید می کند.  Google این آسیب پذیری را در نسخه 138.0.7204.49 (ویندوز) برطرف کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران مرورگر Chrome در ویندوز توصیه می‌شود در اسرع وقت مرورگر خود را به نسخه 138.0.7204.49 یا بالاتر به‌روزرسانی کنند. همچنین، رعایت نکات امنیتی در برابر صفحات ناشناس و خودداری از تعامل غیرضروری با رابط کاربری وب‌سایت‌های نامطمئن اهمیت زیادی دارد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-6557
2. https://www.cvedetails.com/cve/CVE-2025-6557/
3. https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_24.html?m=1
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6557
5. https://vuldb.com/?id.313782
6. https://nvd.nist.gov/vuln/detail/CVE-2025-6557
7. http://cwe.mitre.org/data/definitions/1021.html