Dark Reader信息泄露漏洞CVE-2025-68467

Dark Reader 是一款开源、免费、跨浏览器的护眼扩展，核心是为所有网页智能生成深色模式，解决了原生无深色主题网站的刺眼问题。

一、基本情况

Dark Reader 是一款开源的浏览器扩展及 NPM 库，用于为网页提供实时暗黑模式转换，主打低光护眼、隐私、减少眩光、缓解眼疲劳。

Dark Reader 是目前最成熟、最受欢迎的全网深色模式工具，以智能渲染、强自定义、零隐私风险为核心，是夜间与护眼浏览必备扩展。

栋科技漏洞库关注到 Dark Reader 低于4.9.117版本中存在的信息泄露漏洞，该漏洞现已被追踪为CVE-2025-68467，CVSS 3.X评分3.4。

二、漏洞分析

CVE-2025-68467漏洞存在于 Dark Reader 在 4.9.117 之前的版本中，其“动态暗黑模式”功能在处理跨域 CSS 样式表时存在的安全缺陷。

该漏洞源于 Dark Reader 扩展通过后台进程请求跨域样式文件，并将其内容直接分配给 HTML Style 元素进行解析，

同时，为了性能提升会将其内容存储在页面的 Session Storage 中。

简单来说，在4.9.117之前的Dark Reader版本中，存在一种行为，即网站可以从本地运行的Web服务器请求样式表，

例如http://localhost:8080/style.css，如果该地址可用且返回的内容类型为text/css。

恶意网站作者可以构造特定链接（如指向 localhost 的 CSS 文件），若攻击者预先获知了本地服务器的样式表 URL，

那么可以诱导扩展读取本地资源内容，并可能通过 Session Storage 泄露给当前页面，导致敏感样式信息或本地服务存在性泄露。

三、影响范围

Dark Reader < 4.9.117

四、修复建议

Dark Reader >= 4.9.117

五、参考链接

管理员已设置登录后刷新可查看