CVE-2026-21264CVE-2026-21264是微软账户服务中存在的一个跨站脚本(XSS)安全漏洞,CVSS评分高达9.3,属于严重级别。该漏洞允许未经授权的攻击者通过构造恶意脚本,在微软账户相关网页中执行任意JavaScript代码。由于用户交互是攻击的必要条件(UI:R),攻击者需要诱骗受害者访问恶意链接或页面。成功利用此漏洞可导致会话劫持、敏感信息窃取、钓鱼攻击伪装等严重安全风险,攻击者可能获取受害者的账户凭证、个人隐私数据,甚至在用户不知情的情况下执行账户操作。微软安全响应中心已确认此漏洞并发布修复方案,建议所有微软账户用户及时更新防护。
此XSS漏洞源于微软账户Web应用程序对用户输入验证不足。攻击者可在URL参数、表单输入或API请求中注入恶意JavaScript代码,当受害者访问包含恶意载荷的页面时,浏览器会将其解析为可执行脚本而非纯文本。攻击向量为网络远程利用(AV:N),无需认证(PR:N)即可发起攻击,但需要用户交互(UI:R)触发。漏洞影响机密性(C:H)和完整性(I:H),攻击者可窃取存储在浏览器中的认证令牌、Cookie数据、会话ID等敏感信息,并可篡改页面内容进行钓鱼欺诈。由于微软账户是访问Azure、Microsoft 365、Outlook、Xbox等服务的统一入口,此类XSS漏洞可能被利用形成更大范围的攻击链。