CVE-2025-47241: Critical Whitelist Bypass in Browser Use Exposes Internal Services
2025/05/07 SecurityOnline — AI エージェントに対してブラウザ自動化機能を提供するツール Browser Use プロジェクトに、深刻な脆弱性が存在することを、ARIMLABS.AI のセキュリティ研究者たちが明らかにした。この CVE-2025-47241 (CVSS:9.3) を悪用する攻撃者は、URL の HTTP 認証ユーザー名パートに偽のドメインを埋め込むことで、ドメイン・ホワイトリスト保護を回避していくという。
この問題のコアは、アクセス可能な URL のホワイトリストとして機能する、BrowserContextConfig クラスの allowed_domains リストにある。このモジュールは、エージェントのイニシャライズ中に、URL アクセスを制限するように設計されているが、それをバイパスする手法を、ARIMLABS.AI の研究者たちは発見した。この脆弱性は、_is_url_allowed() メソッドに存在する。
アドバイザリには、「この問題コアは、”domain = domain.split(‘:’)[0]” という行に起因しており、ユーザー名とパスワードのペアを提供する攻撃者は、基本認証の資格情報を操作できるようになる。この操作により、攻撃者は、ユーザー名をホワイトリストに登録されたドメインに置き換え、意図されたセキュリティ・チェックを効果的に回避できる」と記されている。
なお、アドバイザリでは、この脆弱性を説明するための、明確な POC が提供されている。”allowed_domains” を [‘example.com’] に設定し、次の URL を使用する:https://example.com:pass@localhost:8080。そうすることで、攻撃者はホワイトリストの制御を回避し、アクセスが制限される内部サービスへの不正アクセスを達成する。
この脆弱性の影響は甚大である。アドバイザリには、「この脆弱性は、この機能にセキュリティを依存する、すべてのユーザーに影響を与える。その結果として、localhost サービスおよび内部ネットワークの、不正な列挙の可能性を生み出す。さらに、ドメインのホワイトリストを回避し、不正なブラウジングを引き起こす可能性もある」と記されている。
この脆弱性が影響を及ぼす範囲は、Browser Use のバージョン 0.1.44 以下の、すべてのモジュールとなる。ユーザーに対して強く推奨されるのは、パッチ適用バージョン 0.1.45 へと速やかにアップデートし、このリスクを軽減することだ。
このブログでは初登場の Browser Use ですが、公式サイトでは「AI エージェントが Web サイトにアクセスできるように、すべてのインタラクティブな要素を抽出するツールである」と紹介されています。今回の脆弱性は、CVSS 9.3 という深刻なものであり、すでに PoC も公開されています。ご利用のチームは、アップデートをお急ぎください。よろしければ、カテゴリ _AI/ML も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.