CVE-2026-33118 CVSS 4.3 中危

CVE-2026-33118 Microsoft Edge欺骗漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33118

漏洞类型

欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Microsoft Edge (Chromium-based)

漏洞概述

Microsoft Edge (Chromium-based) 存在欺骗漏洞。攻击者可利用此漏洞伪造浏览器界面或地址栏，诱导用户在看似合法的网页上输入敏感信息或执行操作。该漏洞需要用户交互，成功利用可能导致机密信息泄露，但不会影响系统完整性和可用性。

技术细节

该漏洞存在于 Microsoft Edge (Chromium-based) 的渲染引擎中，涉及 UI 框架对特定 DOM 元素的处理逻辑。攻击者可以通过构造特制的恶意网页，利用 CSS 定位技术（如绝对定位覆盖）或弹出窗口机制，在浏览器视口中伪造真实的地址栏、锁图标或 HTTPS 证书信息。由于 CVSS 向量显示无需认证且需用户交互，攻击者通常结合社会工程学手段（如钓鱼邮件）诱导用户访问恶意链接。当用户访问受影响页面时，恶意脚本会执行欺骗逻辑，覆盖真实的 UI 组件。由于浏览器未能正确区分受信任的 UI 区域和网页内容区域，导致用户误以为处于可信环境中，从而可能输入账号密码等机密信息（C:L）。漏洞局限性在于无法直接执行代码或修改文件。

攻击链分析

STEP 1

1. 诱导访问

攻击者通过钓鱼邮件或即时消息发送恶意链接，诱导用户点击访问。

STEP 2

2. 渲染恶意页面

用户点击链接后，浏览器加载并渲染攻击者精心构造的包含欺骗代码的网页。

STEP 3

3. 执行欺骗逻辑

网页中的脚本执行，利用CSS覆盖或DOM操作伪造浏览器UI元素（如地址栏）。

STEP 4

4. 用户交互

用户误认为处于合法网站，在伪造的界面中输入敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for UI Spoofing -->
<html>
<head><title>Login</title></head>
<body>
<!-- Fake address bar overlay -->
<div style="position:fixed; top:0; left:0; width:100%; height:40px; background:#f1f3f4; z-index:9999; text-align:center; padding-top:10px; font-family:sans-serif; border-bottom:1px solid #ccc;">
  https://trusted-site.com/login
</div>
<!-- Actual content -->
<div style="margin-top:50px; text-align:center;">
  <h2>Please Login</h2>
  <input type="text" placeholder="Username"><br><br>
  <input type="password" placeholder="Password">
</div>
<script>
  console.log("Spoofing simulation active.");
</script>
</body>
</html>

影响范围

Microsoft Edge (Chromium-based) < 2026年4月安全补丁版本

防御指南

临时缓解措施

在未安装补丁前，用户应提高警惕，不要点击来源不明的链接。在输入敏感信息前，务必检查浏览器地址栏的真实性，可通过手动输入官方网址或检查SSL证书来规避风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表