【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

admin 2023年11月20日23:14:11评论32 views字数 982阅读3分16秒阅读模式
【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

漏洞名称:

Chromium libxslt XXE漏洞(CVE-2023-4357)

组件名称:

Chrome

影响范围:

chrome < 116.0.5845.96

漏洞类型:

XML外部实体注入

利用条件:

1、用户认证:不需要用户认证

2、前置条件:默认配置

3、触发方式:远程

综合评价:

<综合评定利用难度>:容易,可造成越权访问。

<综合评定威胁等级>:中危,可造成越权访问。

官方解决方案:

已发布



漏洞分析

【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

组件介绍

Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。

【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

漏洞简介

2023年11月20日,深瞳漏洞实验室监测到一则Chrome组件存在XML外部实体注入漏洞的信息,漏洞威胁等级:中危。


116.0.5845.96版本之前的 Google Chrome 中对 XML 中不受信任的输入验证不充分,导致远程攻击者可以通过精心设计的 HTML 页面绕过文件访问限制。

影响范围

Chrome < 116.0.5845.96

漏洞验证


深信服千里目深瞳漏洞实验室搭建Chrome115.0.5738.0版本环境,复现该漏洞,效果如下:


【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

解决方案

【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

如何检测组件版本


打开Chrome浏览器,点击设置—关于Chrome即可查看当前版本。

【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

官方修复建议


官方已发布新版本解决这个问题,请用户下载大于等于116.0.5845.96版本的Chrome。链接:https://www.google.com/intl/zh-CN/chrome/

参考链接


https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

https://www.cve.org/CVERecord?id=CVE-2023-4357

https://crbug.com/1458911

时间轴


2023/06/29

安全研究员报告漏洞

2023/08/31

Google官方修复漏洞

2023/11/20

深瞳漏洞实验室发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)


【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)



原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日23:14:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)https://cn-sec.com/archives/2224207.html

发表评论

匿名网友 填写信息