CVE-2025-11213 - Google Chrome Omnibox域名欺骗漏洞
概述
漏洞描述
Android版Google Chrome在141.0.7390.54之前版本中,Omnibox地址栏的实现存在缺陷,允许远程攻击者通过精心构造的HTML页面,诱使用户执行特定的UI手势,从而实现域名欺骗攻击。(Chromium安全等级:中危)
基本信息
- 发布日期:2025年11月6日 22:15
- 最后修改:2025年11月6日 22:15
- 远程利用:否
- 来源:chrome-cve-admin@google.com
受影响产品
以下产品受到CVE-2025-11213漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | chrome | ||
| 2 | Microsoft | edge_chromium |
总计受影响厂商:2 | 产品数量:2
解决方案
- 将Android上的Google Chrome更新到最新版本以修复域名欺骗漏洞
- 更新Google Chrome至版本141.0.7390.54或更高版本
- 向用户通报此安全更新信息
公开PoC/漏洞利用
CVE-2025-11213在GitHub上有1个公开的PoC/漏洞利用。可前往"公开漏洞利用"选项卡查看列表。
参考资源
以下提供与CVE-2025-11213相关的深度信息、实用解决方案和有价值工具的外部链接:
CWE - 通用弱点枚举
虽然CVE标识具体的漏洞实例,但CWE分类了可能导致漏洞的常见缺陷或弱点。CVE-2025-11213与以下CWE相关联:
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储了攻击模式,这些模式描述了攻击者利用CVE-2025-11213弱点所采用的常见属性和方法。
GitHub漏洞利用检测
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证集合(按最近更新排序):
fkie-cad/nvd-json-data-feeds
社区重建的传统JSON NVD数据源。该项目使用并重新分发NVD API的数据,但未经NVD认可或认证。
- Shell
- 更新:5小时32分钟前
- 183星标 | 25分支 | 25关注者
- 创建于:2023年5月17日上午8:00
- 此仓库已关联53个不同的CVE
由于可能的性能问题,结果限制为前15个仓库。
漏洞时间线
新CVE接收 由chrome-cve-admin@google.com于2025年11月6日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Android版Google Chrome在141.0.7390.54之前版本中,Omnibox地址栏的实现存在缺陷,允许远程攻击者通过精心构造的HTML页面,诱使用户执行特定的UI手势,从而实现域名欺骗攻击。(Chromium安全等级:中危) | |
| 添加 | 参考 | https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html |
漏洞评分详情
此漏洞暂无CVSS度量指标可用。