Microsoft अकाउंट स्पूफिंग भेद्यता

यह XSS भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट को Microsoft Account वेब पेजों में इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता इन संक्रमित पृष्ठों पर जाता है, तो स्क्रिप्ट निष्पादित हो जाती है, जिससे हमलावर उपयोगकर्ता के ब्राउज़र के माध्यम से संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, जैसे कि कुकीज़ और सत्र टोकन। हमलावर उपयोगकर्ता को नकली लॉगिन पृष्ठों पर पुनर्निर्देशित भी कर सकते हैं, जिससे वे क्रेडेंशियल चुरा सकते हैं। इस भेद्यता का उपयोग फ़िशिंग हमलों, सत्र अपहरण और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। चूंकि यह Microsoft Account को प्रभावित करता है, इसलिए इसका प्रभाव व्यापक हो सकता है, क्योंकि कई उपयोगकर्ता इस सेवा का उपयोग करते हैं।

Users who frequently access Microsoft Account services through web browsers are at risk. This includes individuals using Microsoft services for email, cloud storage, or other online activities. Users who rely on Microsoft Account for single sign-on (SSO) to other applications are also at increased risk.

1. 2026-01-22Disclosure

   disclosure

1. आरक्षित2025-12-11
2. प्रकाशित2026-01-22
3. संशोधित2026-04-01
4. EPSS अद्यतन2026-03-23

Microsoft ने इस भेद्यता को ठीक करने के लिए एक सुरक्षा अपडेट जारी किया है। उपयोगकर्ताओं को तुरंत Microsoft Account को नवीनतम संस्करण में अपडेट करने की सलाह दी जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, उपयोगकर्ता वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कर सकते हैं जो XSS हमलों को फ़िल्टर कर सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करना XSS हमलों के जोखिम को कम करने में मदद कर सकता है। Microsoft की सुरक्षा सलाह में दिए गए विशिष्ट शमन चरणों का पालन करना महत्वपूर्ण है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Microsoft Account के सामान्य कार्यों का परीक्षण करें।