WebDriverManager XXE漏洞(CVE-2025-4641)分析与修复指南

漏洞概述

WebDriverManager库中发现了一个严重的XML外部实体注入(XXE)漏洞，编号为CVE-2025-4641，CVSS评分为9.3分（高危）。该漏洞影响Windows、macOS和Linux平台上的所有使用WebDriverManager的Java应用。

受影响组件

WebDriverManager简介

• 开发者：Bonigarcia
• 功能：自动化管理Selenium WebDriver所需的浏览器驱动(chromedriver、geckodriver、msedgedriver等)
• 主要用途：
  • 自动检测系统中已安装的浏览器
  • 实例化ChromeDriver或FirefoxDriver等WebDriver对象
  • 支持在Docker容器中运行浏览器

应用场景

• CI/CD流水线
• 自动化测试环境
• 基于Selenium的测试框架

漏洞原理

XXE漏洞本质

• 类型：XML外部实体注入(XML External Entity Injection)
• 根源：XML解析处理不当
• 触发条件：处理包含外部实体引用的XML输入时

技术细节

漏洞存在于XML解析模块，数据序列化过程中可能遭受外部实体爆破攻击

潜在危害

攻击者可利用此漏洞实现：

1. 敏感文件读取：读取服务器本地文件

   • 如/etc/passwd、/etc/shadow(Unix/Linux)
   • C:\Windows\System32\config\SAM(Windows)

2. SSRF攻击：服务端请求伪造

   • 迫使服务器向任意内外系统发送请求
   • 可能访问内部网络资源

3. 其他后果：

   • 数据泄露
   • 未授权资源访问
   • 系统进一步入侵的跳板

修复方案

官方修复

维护团队在6.0.2版本中修复了该漏洞，关键修复代码：

factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

升级建议

• 立即升级至6.0.2或更高版本
• 检查所有依赖WebDriverManager的项目
• 更新CI/CD流水线中的相关配置

验证修复

升级后应验证：

1. XML解析器是否启用了安全处理特性
2. 是否无法通过恶意XML输入读取系统文件
3. 是否阻止了外部实体引用

长期防护措施

1. 依赖管理：

   • 定期检查项目依赖的安全公告
   • 使用依赖扫描工具(如OWASP Dependency-Check)

2. 安全编码：

   • 对所有XML解析器配置安全特性
   • 禁用DTD和外部实体处理

3. 运行时防护：

   • 实施最小权限原则
   • 限制应用的文件系统访问权限

参考资源

• CVE官方记录：CVE-2025-4641
• WebDriverManager GitHub仓库
• OWASP XXE防护指南