漏洞概述
安全研究人员在WebDriverManager中发现了一个严重的XML外部实体(XXE)注入漏洞。该Java库被广泛应用于基于Selenium的自动化测试框架中,漏洞编号为CVE-2025-4641,CVSS评分为9.3分,表明其对Windows、macOS和Linux平台均可能造成严重影响。
组件功能与风险
由Bonigarcia开发的WebDriverManager主要用于自动化管理Selenium WebDriver所需的浏览器驱动(如chromedriver、geckodriver、msedgedriver),其核心功能包括:
-
自动检测系统中已安装的浏览器 -
实例化ChromeDriver或FirefoxDriver等WebDriver对象 -
支持在Docker容器中轻松运行浏览器
由于该库在CI/CD流水线和自动化测试环境中应用广泛,其漏洞可能引发严重的供应链风险和运行时威胁。
漏洞原理与危害
该漏洞源于XML解析处理不当,攻击者可借此注入恶意外部实体。根据CVE描述:"Windows、MacOS和Linux平台上的bonigarcia webdrivermanager组件因XML解析模块存在缺陷,导致数据序列化过程中可能遭受外部实体爆破攻击"。
XXE漏洞通常发生在应用程序处理包含外部实体引用的XML输入时,攻击者可利用该漏洞:
-
读取服务器本地敏感文件 -
实施服务端请求伪造(SSRF)攻击,迫使服务器向任意内外系统发送请求
此类攻击可能导致数据泄露、资源未授权访问以及系统进一步被入侵等严重后果。
修复方案
维护团队已在6.0.2版本中修复该漏洞,关键安全加固措施包括添加安全处理特性:
factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
强烈建议所有WebDriverManager用户立即升级至6.0.2或更高版本,该更新包含消除XXE漏洞的必要修复,可有效防范潜在攻击。
原文始发于微信公众号(船山信安):热门Selenium库WebDriverManager曝出CVSS 9.3分的严重XXE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论