CVE-2025-69235 - 鲸鱼浏览器同源策略绕过漏洞
概述
CVE-2025-69235是影响鲸鱼浏览器(Whale Browser)的一个安全漏洞。该漏洞允许攻击者在侧边栏环境中绕过浏览器的同源策略(Same-Origin Policy)。
漏洞描述
鲸鱼浏览器4.35.351.12之前的版本允许攻击者在侧边栏环境中绕过同源策略。
信息
- 发布日期: 2025年12月30日 凌晨2:16
- 最后修改日期: 2025年12月30日 凌晨2:16
- 远程可利用: 否
- 来源: cve@navercorp.com
受影响产品
目前尚未记录受影响的具体产品信息。
- 受影响供应商总数: 0
- 产品数量: 0
解决方案
更新鲸鱼浏览器至4.35.351.12或更高版本以修复此同源策略绕过漏洞。
- 将鲸鱼浏览器更新至最新版本。
- 确保浏览器版本为4.35.351.12或更新。
参考链接、解决方案与工具
以下是与CVE-2025-69235相关的详细资料、解决方案和有用工具的精选外部链接列表。
| URL | 资源 |
|---|---|
| https://cve.naver.com/detail/cve-2025-69235.html | 官方漏洞详情 |
CWE - 常见弱点枚举
CVE标识具体的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-69235与以下CWE相关:
- CWE-346: 来源验证错误
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了攻击者利用CVE-2025-69235弱点时采用的常见属性和方法。
- CAPEC-21: 利用受信任标识符
- CAPEC-59: 通过预测伪造会话凭证
- CAPEC-60: 重用会话ID(又称会话重放)
- CAPEC-75: 操纵可写配置文件
- CAPEC-76: 操纵Web输入至文件系统调用
- CAPEC-89: 网络钓鱼(Pharming)
- CAPEC-111: JSON劫持(又称JavaScript劫持)
- CAPEC-141: 缓存中毒
- CAPEC-142: DNS缓存中毒
- CAPEC-160: 利用基于脚本的API
- CAPEC-384: 通过中间人攻击操纵应用API消息
- CAPEC-385: 通过应用API操纵篡改交易或事件
- CAPEC-386: 应用API导航重映射
- CAPEC-387: 导航重映射以传播恶意内容
- CAPEC-388: 应用API按钮劫持
- CAPEC-510: SaaS用户请求伪造
我们扫描GitHub仓库以检测新的概念验证漏洞利用程序。以下列表是发布在GitHub上的公共漏洞利用程序和概念验证集合(按最近更新排序)。 (由于可能存在性能问题,结果限制在前15个仓库。)
以下列表是文章中提及CVE-2025-69235漏洞的新闻。 (由于可能存在性能问题,结果限制在前20篇新闻文章。)
漏洞时间线
漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 日期 | 事件 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年12月30日 | 由 cve@navercorp.com 接收新CVE | 添加描述 | Whale browser before 4.35.351.12 allows an attacker to bypass the Same-Origin Policy in a sidebar environment. | |
| 添加CWE | CWE-346 | |||
| 添加参考链接 | https://cve.naver.com/detail/cve-2025-69235.html |
漏洞评分详情
此漏洞暂无CVSS评分指标。