Platform
dotnet
Component
microsoft-account
CVE-2026-21264 beschrijft een cross-site scripting (XSS) kwetsbaarheid in Microsoft Account. Deze kwetsbaarheid stelt een onbevoegde aanvaller in staat om spoofing uit te voeren via een netwerk. De kwetsbaarheid treft versies van Microsoft Account tot en met de onbekende versie (≤-). Een fix is in ontwikkeling en zal beschikbaar worden gesteld.
Deze XSS kwetsbaarheid in Microsoft Account maakt het mogelijk voor een aanvaller om kwaadaardige scripts in te voegen op webpagina's die door Microsoft Account worden gegenereerd. Wanneer een gebruiker deze pagina bezoekt, wordt het script uitgevoerd in de context van de gebruiker, waardoor de aanvaller potentieel toegang kan krijgen tot gevoelige informatie, zoals cookies en sessiegegevens. Dit kan leiden tot accountovername, phishing aanvallen en andere vormen van misbruik. De impact is aanzienlijk, aangezien Microsoft Account een centraal onderdeel is van veel Microsoft-diensten en -applicaties.
Deze kwetsbaarheid werd publiek gemaakt op 22 januari 2026. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kritieke CVSS-score suggereert een hoog risico op uitbuiting zodra een exploit beschikbaar komt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Users who frequently access Microsoft Account services through web browsers are at risk. This includes individuals using Microsoft services for email, cloud storage, or other online activities. Users who rely on Microsoft Account for single sign-on (SSO) to other applications are also at increased risk.
disclosure
Exploit Status
EPSS
0.04% (14% percentiel)
CISA SSVC
CVSS-vector
Omdat de exacte beveiligde versie nog niet bekend is, is het essentieel om de Microsoft Security Response Center (MSRC) te volgen voor updates. Totdat de patch beschikbaar is, kan het beperken van de invoer die door Microsoft Account wordt verwerkt helpen om het risico te verminderen. Implementeer strikte inputvalidatie en output encoding om te voorkomen dat kwaadaardige scripts worden uitgevoerd. Overweeg het gebruik van een Web Application Firewall (WAF) om XSS-aanvallen te blokkeren. Controleer regelmatig de Microsoft Account-configuratie op ongebruikelijke instellingen of potentiële kwetsbaarheden.
Microsoft raadt aan de meest recente beveiligingsupdates toe te passen om zich te beschermen tegen deze kwetsbaarheid. Raadpleeg het Microsoft beveiligingsbulletin voor meer informatie en de bijbehorende updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-21264 is a critical cross-site scripting (XSS) vulnerability in Microsoft Account that allows attackers to potentially perform spoofing attacks over a network due to improper input neutralization.
If you are using Microsoft Account prior to the release of a patch, you are potentially affected by this vulnerability. Monitor Microsoft's security advisories for updates.
Upgrade to the latest patched version of Microsoft Account as soon as it becomes available. Until then, exercise caution and consider enabling multi-factor authentication.
While no active exploitation has been confirmed, the vulnerability's severity and XSS nature suggest a high likelihood of exploitation. Monitor security advisories for updates.
Refer to the official Microsoft Security Response Center (MSRC) website for the latest advisory regarding CVE-2026-21264: https://msrc.microsoft.com/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je packages.lock.json-bestand en we vertellen je direct of je getroffen bent.