Playwright下载安装浏览器时未验证SSL证书真实性 · CVE-2025-59288

漏洞详情

包管理器: npm
受影响包: playwright
受影响版本: < 1.55.1
已修复版本: 1.55.1

漏洞描述

Playwright中的加密签名验证不当允许未经授权的攻击者通过相邻网络执行欺骗攻击。

严重程度

中等严重程度
CVSS总体评分: 5.3/10

CVSS v3基础指标

• 攻击向量: 相邻网络
• 攻击复杂度: 高
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 高
• 完整性: 无
• 可用性: 无

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

EPSS评分

0.027% (第6百分位)
该评分估计此漏洞在接下来30天内被利用的概率。

弱点

弱点类型: CWE-347
描述: 加密签名验证不当
产品未验证或错误验证数据的加密签名。

参考资源

• https://nvd.nist.gov/vuln/detail/CVE-2025-59288
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59288
• GHSA-qxm8-4v54-964r
• microsoft/playwright#37532
• microsoft/playwright@72c62d8
• https://github.com/microsoft/playwright/releases/tag/v1.55.1
• https://github.com/microsoft/playwright/releases/tag/v1.56.0

时间线

• 国家漏洞数据库发布: 2025年10月14日
• GitHub咨询数据库发布: 2025年10月14日
• 审核时间: 2025年10月20日
• 最后更新: 2025年10月20日