主要观点：通常不针对特定 CVE 写博客，但 Yelp 的 CVE-2025-3155 值得关注，很严重且已公开数周仍未在上游修复，恶意帮助文件可读取文件系统并执行任意 JavaScript 代码，能让攻击者窃取 Unix 用户可访问的文件。
关键信息：

• 默认浏览器允许网站自动下载文件，安装恶意帮助文件简单，用户发现下载目录中意外文件要小心。
• 恶意网站会尝试打开特殊 URL 依赖浏览器以用户主目录为当前工作目录的假设。
• Chrome 和 Firefox 打开 Yelp 前会提示用户，若给予权限则易受攻击，注意浏览器的“始终允许”复选框。
• Epiphany 打开 URL 前不提示用户，使用该浏览器或其他无需用户确认在外部程序打开链接的浏览器应立即卸载 Yelp 或更改下载目录。
  重要细节：
• 12 月 25 日向 GNOME 安全报告漏洞。
• 2 月 24 日报告者提出修复补丁。
• 3 月 26 日达到 90 天披露期限，虽未修复仍公开报告，后因创意不足误判仅用于针对性攻击。
• 4 月 5 日报告者发布详细演示攻击的内容，利用 /proc/self/cwd/Downloads 绕过知道 Unix 用户名的要求。
• 4 月 13 日 GNOME 安全得知该内容。
• 6 月 12 日 Yelp 42.3 和 yelp-xsl 42.3 发布修复该问题，4 月 21 日发布 Epiphany 48.1 防止下载文件自动打开。若为 Linux 操作系统供应商，可考虑应用未被上游接受的补丁。