概述
CVE-2025-12429是Google Chrome V8引擎中的一个HTML注入漏洞,CVSS评分为8.8(高危级别)。
漏洞描述
在Google Chrome 142.0.7444.59之前版本中,V8引擎的实现不当允许远程攻击者通过特制的HTML页面执行任意读写操作。(Chromium安全严重性:高)
漏洞时间线
- 发布日期:2025年11月10日 20:15
- 最后修改:2025年11月10日 21:15
- 远程利用:是
- 信息来源:chrome-cve-admin@google.com
受影响产品
以下产品受到CVE-2025-12429漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Chrome | ||
| 2 | Microsoft | Edge Chromium |
总计受影响厂商:2 | 产品:2
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将Google Chrome更新到修复内存损坏漏洞的版本
- 更新Google Chrome至142.0.7444.59或更高版本
- 及时应用Google Chrome的安全补丁和更新
- 避免打开不受信任的HTML页面或链接
参考资源
| URL | 资源 |
|---|---|
| https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html | Chrome发布说明 |
CWE关联
该CVE与以下常见弱点枚举(CWE)相关联。
漏洞历史记录
CVE修改 by 134c704f-9b21-4f2e-91b3-4a467353bcc0 - 2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
新CVE接收 by chrome-cve-admin@google.com - 2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Google Chrome 142.0.7444.59之前版本中,V8引擎的实现不当允许远程攻击者通过特制的HTML页面执行任意读写操作。 | |
| 添加 | 参考 | https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html |
漏洞评分详情
CVSS 3.1基础评分:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:变更
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高