概述
CVE-2025-11212是Google Chrome浏览器中的一个域名欺骗漏洞,安全严重性评级为中等。
漏洞描述
在Windows平台的Google Chrome 141.0.7390.54之前版本中,媒体组件的实现存在不当之处,允许远程攻击者通过诱使用户执行特定的UI手势,经由精心构造的HTML页面实施域名欺骗攻击。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | chrome | ||
| 2 | Microsoft | edge_chromium |
总计受影响厂商:2 | 产品:2
解决方案
- 更新Google Chrome至最新版本
- 确保所有用户都已更新浏览器
- 应用供应商提供的安全补丁
公开PoC/漏洞利用
GitHub上已有1个公开的PoC/漏洞利用可用。
参考信息
漏洞时间线
- 新CVE接收:由chrome-cve-admin@google.com于2025年11月6日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Windows平台的Google Chrome 141.0.7390.54之前版本中,媒体组件的实现存在不当之处,允许远程攻击者通过诱使用户执行特定的UI手势,经由精心构造的HTML页面实施域名欺骗攻击。(Chromium安全严重性:中等) | |
| 添加 | 参考 | https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html |
技术细节
该漏洞与CWE(常见弱点枚举)分类相关,并对应CAPEC(常见攻击模式枚举和分类)中的攻击模式描述。
GitHub仓库扫描结果显示存在相关的概念验证漏洞利用代码,其中fkie-cad/nvd-json-data-feeds项目已关联53个不同的CVE漏洞。