Google Chrome data leakage bug confirmed as actively exploited
a year ago
- #Chrome Vulnerability
- #OAuth
- #Cybersecurity
- 谷歌Chrome漏洞(CVE-2025-4664)因可能导致OAuth代码泄露,已被列入CISA已知被利用漏洞目录
- 该漏洞源于Chrome加载器中策略执行不严,攻击者可通过操纵referrer-policy窃取完整查询参数
- 研究员Vsevolod Kokorin发现,恶意HTML页面或第三方资源均可利用此漏洞
- 查询参数可能包含OAuth代码等敏感数据,存在账户接管风险
- Chrome 136.0.7103.113版本已修复,CVSS评分中等(4.3),但谷歌评估为高危漏洞
- 联邦机构须在2025年6月5日前完成修补,已确认存在活跃攻击
- CISA同期新增DrayTek路由器漏洞(CVE-2024-12987)和SAP NetWeaver漏洞(CVE-2025-42999)
- 此前Chrome沙箱逃逸零日漏洞(CVE-2025-2783)已于2024年3月被列入该目录