Brave浏览器SameSite策略绕过漏洞报告
漏洞概述
在跨域环境下,当用户左键点击链接并选择"在分屏视图中打开链接"时,所有cookie(包括SameSite=Strict设置的cookie)都会被发送,尽管这是跨站导航行为。
根据SameSite cookie规范,在跨站导航期间只应发送SameSite=Lax cookie。
相关CVE和已知问题
在提供详细说明之前,以下列出了因SameSite违规而报告的相关CVE和问题:
- https://bugzilla.mozilla.org/show_bug.cgi?id=1873223
- https://bugzilla.mozilla.org/show_bug.cgi?id=1844827
- https://bugzilla.mozilla.org/show_bug.cgi?id=1456652
- https://nvd.nist.gov/vuln/detail/CVE-2018-12402
- https://nvd.nist.gov/vuln/detail/cve-2022-29912
- https://nvd.nist.gov/vuln/detail/cve-2022-45410
- https://nvd.nist.gov/vuln/detail/cve-2022-45413
- CVE-2023-30674
技术分析
存在与报告漏洞类似的情况,由于用户交互而绕过了SameSite=Strict cookie:
在这种情况下SameSite=Strict cookie被发送的原因是,通常应该存在的Sec-Fetch-Site: cross-site头部缺失。为防止SameSite绕过和防御CSRF攻击,此头部应正确包含在请求中。
受影响产品
Brave 1.80.120(窗口操作)
复现步骤
|
|
- 尝试使用"在分屏视图中打开链接"选项打开上面的超链接——即使是SameSite=Strict cookie也会被发送
- 尝试使用其他选项打开链接——例如"在新标签页中打开"或"在隐身窗口中打开"——并比较每种情况下发送的cookie
已包含演示概念验证(POC)的视频。
支持材料/参考资料
(参考资料列表与上文CVE列表相同)
时间线
- 2025年7月15日 - mingijung向Brave Software提交报告
- 2025年7月15日 - Brave员工artem_chaikin将状态更改为"已分类"
- 2025年7月28日 - Brave员工diracdeltas确认此问题也存在于Chromium的分屏视图实现中
- 2025年8月4日 - diracdeltas关闭报告并将状态更改为"已解决",修复已合并
- 2025年8月4日 - Brave Software向mingijung奖励500美元赏金
- 2025年8月9日 - mingijung报告已将此问题报告给Google,确认正在Chrome中修补
- 2025年8月20日 - 确证此问题在Chrome M141版本中已修复
- 2025年8月26日 - 提交CVE请求
- 6天前 - 修复已在稳定版中发布,请求披露报告
- 5天前 - mingijung同意披露报告,报告已公开
漏洞详情
- 报告ID: #3253725
- 状态: 已解决
- 严重程度: 高 (8.3)
- 披露时间: 2025年10月15日
- 弱点: 证书验证不当
- CVE ID: CVE-2018-12402, CVE-2022-29912, CVE-2022-45410, CVE-2022-45413, CVE-2023-30674
- 赏金: 500美元
Chromium修复:https://chromium-review.googlesource.com/c/chromium/src/+/6838198