CVE-2025-59251 - 安全更新指南 - Microsoft - Microsoft Edge(基于Chromium)远程代码执行漏洞
漏洞概述
发布日期:2025年9月25日
分配CNA:Microsoft
CVE链接:CVE-2025-59251
影响:远程代码执行
最高严重等级:重要
CVSS评分详情
CVSS评分:7.6 / 7.6
向量字符串:CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:L/RC:C
基础评分指标
| 指标 | 值 | 说明 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围包括整个互联网 |
| 攻击复杂度 | 低 | 不存在特殊的访问条件或减轻情况,攻击者可以预期对易受攻击组件的可重复成功 |
| 所需权限 | 低 | 攻击者需要具有基本用户能力的授权权限 |
| 用户交互 | 需要 | 成功利用此漏洞需要用户在漏洞被利用之前采取某些操作 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源 |
| 机密性 | 高 | 存在完全的机密性损失,受影响组件内的所有资源都会泄露给攻击者 |
| 完整性 | 高 | 存在完全的完整性损失,攻击者能够修改受影响组件保护的任何/所有文件 |
| 可用性 | 低 | 性能降低或资源可用性中断,但攻击者无法完全拒绝向合法用户提供服务 |
时间评分指标
| 指标 | 值 | 说明 |
|---|---|---|
| 报告可信度 | 已确认 | 存在详细报告,或者可以进行功能重现,源代码可用于独立验证研究断言 |
版本信息
| Microsoft Edge版本 | 发布日期 | 基于Chromium版本 |
|---|---|---|
| 140.0.3485.81 | 2025年9月19日 | 140.0.7339.186 |
常见问题解答
根据CVSS指标,攻击向量是网络(AV:N)且需要用户交互(UI:R)。远程代码执行的目标上下文是什么?
此攻击需要经过身份验证的客户端点击链接,以便未经身份验证的攻击者可以发起远程代码执行。
根据CVSS指标,成功利用此漏洞可能导致高机密性损失(C:H)和高完整性损失(I:H)以及某些可用性损失(A:L)。此漏洞的影响是什么?
成功利用此漏洞的攻击者可以查看敏感信息(机密性),对披露的信息进行更改(完整性),并且可能能够强制浏览器标签页崩溃(可用性)。
致谢
Microsoft认可安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息,请参阅致谢页面。
安全更新
要确定软件的支持生命周期,请参阅Microsoft支持生命周期。
| 发布日期 | 产品 | 平台 | 影响 | 最高严重等级 | 知识库文章 | 下载 | 构建编号 |
|---|---|---|---|---|---|---|---|
| 2025年9月25日 | Microsoft Edge(基于Chromium) | - | 远程代码执行 | 重要 | 发布说明 | 安全更新 | 140.0.3485.81 |
免责声明
Microsoft知识库中提供的信息"按原样"提供,不提供任何形式的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商都不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。
修订记录
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.0 | - | 2025年9月25日 | 信息发布 |