CVE-2026-28871CVE-2026-28871是Apple Safari、iOS、iPadOS及macOS中存在的一个逻辑漏洞。由于系统对特定场景的安全检查机制不完善,攻击者可诱导用户访问恶意制作的网页。成功利用该漏洞将导致跨站脚本攻击,攻击者可借此窃取用户敏感信息或执行恶意脚本操作。
该漏洞源于Apple WebKit引擎在处理Web内容时的逻辑缺陷。具体表现为浏览器在解析特定DOM操作或处理跨域请求时,未对输入数据进行严格的验证和清理,导致安全边界被突破。攻击者可以利用这一逻辑漏洞,精心构造包含恶意JavaScript代码的网页。由于CVSS向量显示需要用户交互(UI:R),攻击者通常采用社会工程学手段诱导受害者访问该链接。一旦受害者在受影响的Safari、iOS或macOS设备上访问该恶意页面,浏览器便会错误地解析并执行注入的脚本。这种XSS攻击允许攻击者在受害者浏览器环境中执行任意代码,窃取Cookie、会话令牌等敏感数据,或者篡改页面内容,严重威胁用户数据的机密性。