CVE-2025-11209 - Google Chrome Omnibox欺骗漏洞
概述
漏洞描述
Google Chrome Android版本141.0.7390.54之前的Omnibox功能存在实现不当问题,允许远程攻击者通过特制HTML页面欺骗Omnibox(URL地址栏)的内容显示。(Chromium安全严重性:中等)
基本信息
发布日期: 2025年11月6日 22:15
最后修改: 2025年11月6日 22:15
远程利用: 否
来源: chrome-cve-admin@google.com
受影响产品
以下产品受到CVE-2025-11209漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | chrome | ||
| 2 | Microsoft | edge_chromium |
总计受影响厂商:2 | 产品:2
解决方案
- 将Google Chrome更新至141.0.7390.54或更高版本以修复Omnibox欺骗问题
- 更新Android设备上的Google Chrome
- 确保所有用户都使用最新版本
公开PoC/漏洞利用
GitHub上已有1个公开的PoC/漏洞利用可用。请转到"公开漏洞利用"选项卡查看列表。
参考资源
以下提供与CVE-2025-11209相关的深度信息、实用解决方案和有价值工具的外部链接:
CWE - 通用弱点枚举
CVE-2025-11209与以下CWE类别相关联。
通用攻击模式枚举与分类(CAPEC)
通用攻击模式枚举与分类(CAPEC)存储了攻击者利用CVE-2025-11209弱点所采用的常见属性和方法的描述。
GitHub仓库扫描
我们在GitHub仓库中扫描新的概念验证漏洞利用。以下是已发布在GitHub上的公开漏洞利用和概念验证列表(按最近更新排序):
fkie-cad/nvd-json-data-feeds
社区重建的传统JSON NVD数据源。此项目使用并重新分发NVD API的数据,但未经NVD认可或认证。
- 语言: Shell
- 更新时间: 5小时34分钟前
- 183星标 | 25分支 | 25关注者
- 创建于: 2023年5月17日 8:00
- 此仓库已关联53个不同的CVE
由于可能的性能问题,结果限制为前15个仓库。
漏洞时间线历史
以下表格列出了CVE-2025-11209漏洞随时间的变化:
新CVE接收
- 接收者: chrome-cve-admin@google.com
- 时间: 2025年11月6日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Google Chrome Android版本141.0.7390.54之前的Omnibox功能存在实现不当问题,允许远程攻击者通过特制HTML页面欺骗Omnibox(URL地址栏)的内容显示。(Chromium安全严重性:中等) | |
| 添加 | 参考 | https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html |
漏洞评分详情
此漏洞暂无CVSS指标可用。