CVE-2025-60711 - 微软Edge(基于Chromium)远程代码执行漏洞
漏洞概述
微软Edge(基于Chromium)中的保护机制失效允许未经授权的攻击者通过网络执行代码。
漏洞详情
- 发布日期:2025年10月31日
- CVE编号:CVE-2025-60711
- 影响:远程代码执行
- 最高严重等级:重要
- 弱点:CWE-693 保护机制失效
CVSS评分
CVSS 3.1评分:6.3 / 5.7
基础评分指标:
- 攻击向量:网络 - 易受攻击的组件绑定到网络堆栈
- 攻击复杂度:低 - 攻击者可以预期对易受攻击组件获得可重复的成功
- 所需权限:无 - 攻击者在攻击前未经授权
- 用户交互:需要 - 需要用户采取某些操作才能利用此漏洞
- 范围:未更改
- 机密性影响:低 - 存在部分机密性损失
- 完整性影响:低 - 可以修改数据,但攻击者无法控制修改后果
- 可用性影响:低 - 性能降低或资源可用性中断
时间评分指标:
- 利用代码成熟度:概念验证 - 概念验证利用代码可用
- 修复级别:官方修复 - 供应商已提供完整解决方案
- 报告可信度:已确认 - 存在详细报告或可功能复现
可利用性评估
- 公开披露:否
- 已利用:否
- 可利用性评估:利用可能性较低
版本信息
| Microsoft Edge版本 | 发布日期 | 基于Chromium版本 |
|---|---|---|
| 142.0.3595.53 | 2025年10月31日 | 142.0.7445.59/.60 |
常见问题解答
根据CVSS指标,需要用户交互(UI:R)。用户需要做什么交互? 利用此漏洞需要用户打开特制文件。
在电子邮件攻击场景中,攻击者可以通过向用户发送特制文件并说服用户打开该文件来利用此漏洞。
在基于Web的攻击场景中,攻击者可以托管包含特制文件的网站(或利用接受或托管用户提供内容的受感染网站),该文件旨在利用此漏洞。
攻击者无法强制用户访问该网站,而是必须说服用户点击链接(通常通过电子邮件或即时消息中的诱饵),然后说服他们打开特制文件。
攻击者如何通过网络利用此漏洞? 攻击者可以托管特制网站,旨在通过Microsoft Edge利用此漏洞,然后说服用户查看该网站。但在所有情况下,攻击者都无法强制用户查看攻击者控制的内容,而是必须说服用户采取行动。
成功利用此漏洞会导致什么后果? 虽然我们不能排除对机密性、完整性和可用性的影响,但单独利用此漏洞的能力有限。攻击者需要将此漏洞与其他漏洞结合使用才能执行攻击。
致谢
Eduardo Braun Prado与Trend Zero Day Initiative合作发现此漏洞。
安全更新
发布日期:2025年10月31日 产品:Microsoft Edge(基于Chromium) 影响:远程代码执行 最高严重等级:重要 构建版本:142.0.3595.53
修订记录
- 版本1.0:2025年10月31日发布信息