WebDriverManager 中已经发现了一个关键的 XML 外部实体 (XXE) 注入漏洞,WebDriverManager 是一个在基于 Selenium 的自动化框架中广泛使用的重要 Java 库。该漏洞的CVE-2025-4641为CVSS,在CVSS规模上得分为9.3,突出了其在Windows,macOS和Linux等平台之间的严重影响潜力。
WebDriverManager由Bonigarcia开发,可自动为Selenium WebDriver自动下载,配置和管理浏览器驱动程序(例如Chromedriver,geckodriver,msedgedriver)。除了驱动程序管理之外,它还使开发人员能够:
- 检测系统上已安装的浏览器自动实例化 ChromeDriver 或 FirefoxDriver 等 WebDriver 对象在 Docker 容器中轻松运行浏览器
鉴于其在 CI/CD 管道和自动化测试环境中的普及,WebDriverManager vulnerabilities中的漏洞可能构成严重的供应链和运行时风险。
该漏洞源于对XML解析的不当处理,它允许攻击者注入恶意外部实体。
vulnerability“Windows,MacOS,Linux(XML解析组件模块)允许数据序列化外部实体爆炸模块在Windows,MacOS,Linux上对XML外部实体引用漏洞的不当限制,”CVE条目中写道。
当应用程序处理包含对外部实体的引用的 XML 输入时,会发生 XXE 漏洞。攻击者可以利用它来:
- 访问本地文件:读取服务器文件系统上的敏感文件。执行服务器侧请求伪造(SSRF):使服务器向任意外部或内部系统发送请求。
这可能导致严重后果,包括数据泄露,未经授权访问资源以及进一步利用受损系统。
维护人员在 6.0.2 版本中修补了此漏洞,引入了关键安全强化,包括:
