CVE-2026-42891 CVSS 6.5 中危

CVE-2026-42891 Microsoft Edge欺骗漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42891

漏洞类型

欺骗漏洞

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Microsoft Edge (Chromium-based)

漏洞概述

Microsoft Edge（基于Chromium）存在欺骗漏洞。由于用户界面（UI）对关键信息的错误表述，未经授权的攻击者可以通过网络欺骗用户，导致机密性泄露和完整性受损。

技术细节

该漏洞源于Microsoft Edge浏览器在渲染用户界面时未能正确区分或展示关键的安全信息。攻击者可以通过构造特制的网络请求或网页内容，利用浏览器UI渲染逻辑中的缺陷，误导用户对当前页面状态、证书有效性或URL地址的判断。由于CVSS向量显示无需用户交互（UI:N），攻击可能通过后台网络请求或自动加载的页面元素触发。攻击者利用此漏洞可实施钓鱼攻击，诱骗用户执行非预期操作或泄露敏感数据。

攻击链分析

STEP 1

步骤1：构造恶意内容

攻击者准备包含恶意代码的网页，该代码旨在利用Edge浏览器UI渲染缺陷。

STEP 2

步骤2：诱导访问

通过网络（如电子邮件、恶意广告）诱导受害者访问攻击者控制的URL。

STEP 3

步骤3：触发UI欺骗

Edge浏览器加载页面时，错误地渲染UI元素（如地址栏、对话框），掩盖真实的安全状态。

STEP 4

步骤4：实施攻击

受害者被误导，认为页面是安全的，从而输入敏感信息或执行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for UI Misrepresentation / Spoofing -->
<!-- This PoC demonstrates how a malicious page might mimic browser UI elements -->
<!DOCTYPE html>
<html>
<head>
    <title>Microsoft Edge Spoofing PoC</title>
    <style>
        /* CSS to mimic browser address bar or dialogs */
        .fake-ui {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            background: #f1f1f1;
            padding: 8px;
            font-family: sans-serif;
            border-bottom: 1px solid #ccc;
            z-index: 9999;
        }
    </style>
</head>
<body>
    <div class="fake-ui">https://www trusted-site.com/login</div>
    <div style="margin-top: 50px;">
        <h2>请登录您的账户</h2>
        <!-- Malicious form mimicking a trusted site -->
    </div>
</body>
</html>

影响范围

Microsoft Edge (Chromium-based)

防御指南

临时缓解措施

建议用户立即检查并更新Microsoft Edge浏览器至最新版本，确保系统已安装最新的安全补丁以修补此UI欺骗漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表