关键漏洞信息 漏洞概述 CVE ID: CVE-2025-56139 受影响平台: LinkedIn Mobile Application 受影响版本: Android 4.1.1110 (Sep 2025) 及更早版本 漏洞描述 LinkedIn 移动应用程序中存在一个漏洞,允许攻击者利用链接预览不匹配。当用户发布一个链接并在发布前将其替换为恶意 URL 时,LinkedIn 无法重新生成预览,从而在用户看到的预览和实际恶意目的地之间造成视觉不匹配。 安全影响 用户欺骗: 用户信任由 LinkedIn 生成的看似合法的链接预览。 钓鱼与凭证窃取: 攻击者可以将用户重定向到假冒的登录门户。 数据窃取: 敏感数据、个人凭证或企业登录信息可能被盗。 恶意软件分发: 用户可能被重定向到托管恶意软件/勒索软件的恶意网站。 通过广告进行利用: 攻击者可以利用 LinkedIn 的广告系统放大攻击范围。 技术细节 LinkedIn 使用 Open Graph 标签获取预览元数据。 预览仅在第一次传递 URL 时生成。 如果 URL 在发布前被替换,LinkedIn 不会重新获取元数据。 这在预览内容和实际链接目的地之间造成了不匹配。 平台特定行为 LinkedIn 移动应用: 易受攻击(保留旧预览)。 LinkedIn 网页版: 预览更新正确(不易受攻击)。 负责任披露 该问题已通过 LinkedIn 的漏洞赏金计划(HackerOne)报告。报告被标记为信息性。 推荐措施 无效并重新生成预览,无论何时链接被替换。 当 URL 在生成预览后更改时提供 UI 警告。 确保实际目标 URL 在用户点击之前清晰可见,无论是否显示链接预览。 研究员 Aiman Al-Hadhrami - 独立网络安全研究员