漏洞概述
安全研究人员在WebDriverManager中发现了一个严重的XML外部实体(XXE)注入漏洞。该Java库被广泛应用于基于Selenium的自动化测试框架中,漏洞编号为CVE-2025-4641,CVSS评分为9.3分,表明其对Windows、macOS和Linux平台均可能造成严重影响。
组件功能与风险
由Bonigarcia开发的WebDriverManager主要用于自动化管理Selenium WebDriver所需的浏览器驱动(如chromedriver、geckodriver、msedgedriver),其核心功能包括:
自动检测系统中已安装的浏览器 实例化ChromeDriver或FirefoxDriver等WebDriver对象 支持在Docker容器中轻松运行浏览器
由于该库在CI/CD流水线和自动化测试环境中应用广泛,其漏洞可能引发严重的供应链风险和运行时威胁。
漏洞原理与危害
该漏洞源于XML解析处理不当,攻击者可借此注入恶意外部实体。根据CVE描述:"Windows、MacOS和Linux平台上的bonigarcia webdrivermanager组件因XML解析模块存在缺陷,导致数据序列化过程中可能遭受外部实体爆破攻击"。
XXE漏洞通常发生在应用程序处理包含外部实体引用的XML输入时,攻击者可利用该漏洞:
读取服务器本地敏感文件 实施服务端请求伪造(SSRF)攻击,迫使服务器向任意内外系统发送请求
此类攻击可能导致数据泄露、资源未授权访问以及系统进一步被入侵等严重后果。
修复方案
维护团队已在6.0.2版本中修复该漏洞,关键安全加固措施包括添加安全处理特性:
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
强烈建议所有WebDriverManager用户立即升级至6.0.2或更高版本,该更新包含消除XXE漏洞的必要修复,可有效防范潜在攻击。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...