CVE-2026-21264描述了Microsoft Account中存在的跨站脚本攻击(XSS)漏洞。该漏洞源于在网页生成过程中未能正确中和输入,攻击者可以利用此漏洞进行欺骗攻击。受影响的版本包括所有版本号小于或等于-的版本。建议尽快采取修复措施。
该XSS漏洞允许未经授权的攻击者通过网络实施欺骗攻击。攻击者可以诱骗用户点击恶意链接,从而窃取用户的敏感信息,例如用户名、密码、身份验证令牌等。攻击者还可以利用该漏洞篡改网页内容,诱导用户执行恶意操作,例如更改账户设置、发送恶意邮件等。由于Microsoft Account是用户访问各种Microsoft服务的入口,该漏洞的潜在影响非常严重,可能导致大规模的用户数据泄露和账户被盗。
该漏洞已于2026年1月22日公开披露。目前尚未发现公开的PoC,但由于XSS漏洞的普遍性,存在被利用的风险。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Users who frequently access Microsoft Account services through web browsers are at risk. This includes individuals using Microsoft services for email, cloud storage, or other online activities. Users who rely on Microsoft Account for single sign-on (SSO) to other applications are also at increased risk.
disclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
CISA SSVC
CVSS 向量
由于未提供固定的版本,建议采取以下缓解措施:首先,审查Microsoft Account的代码,查找并修复输入中和的缺陷。其次,实施严格的输入验证和过滤,防止恶意脚本注入。第三,启用内容安全策略(CSP),限制浏览器可以加载的资源来源。第四,定期进行安全审计和渗透测试,及时发现和修复潜在的安全漏洞。最后,监控Microsoft Account的日志,检测异常活动,及时响应安全事件。
Microsoft 建议应用最新的安全更新以保护自己免受此漏洞的影响。请参阅 Microsoft 安全公告以获取更多信息和相应的更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-21264描述了Microsoft Account中由于输入未正确中和而产生的跨站脚本攻击(XSS)漏洞,攻击者可以利用此漏洞进行欺骗攻击。
如果您的Microsoft Account版本号小于或等于-,则可能受到影响。建议尽快采取缓解措施。
由于未提供固定的版本,建议审查代码、实施输入验证、启用CSP、进行安全审计和监控日志。
目前尚未发现公开的PoC,但由于XSS漏洞的普遍性,存在被利用的风险。
请访问Microsoft安全响应中心,搜索CVE-2026-21264以获取官方公告。
上传你的 packages.lock.json 文件,立即知道是否受影响。