Chromium libxslt XXE漏洞

预览

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 116.0.5845.96 之前版本存在安全漏洞，该漏洞源于XML 中输入验证不充分，允许远程攻击者通过精心设计的 HTML 页面绕过文件访问限制。

预览

1. 利用 XXE 进行 DOS 攻击；
2. 读取本地任意敏感文件；
3. 利用相关协议探测内网主机 IP、端口等信息；
4. 在特定条件下利用 Java 中的 jar:// 协议，php 中的 phar:// 可能导致恶意文件上传；
5. PHP 中如果安装了 expect 扩展，可利用 XXE 执行任意命令。

预览

1、升级修复方案
Google官方已发布新版本Chrome修复漏洞，建议尽快在Chrome内点击“关于Google Chrome”升级到最新版本。
2、临时缓解方案
对于使用Chromium内核的浏览器和应用程序，请定期检查并关注来自官方渠道的安全更新和补丁。一旦发布了针对此漏洞的修复更新，应尽快进行升级。
在等待官方发布安全更新期间，建议用户不要点击或打开来自不可信或未知来源的URL。这种预防措施可以减少受到潜在攻击的风险。