Katalog CVE

CVE-2026-28861

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

W przeglądarce Safari oraz systemach Apple wykryto problem logiczny w zarządzaniu stanem, który może pozwolić złośliwej stronie internetowej na dostęp do procedur obsługi komunikatów skryptów przeznaczonych dla innych źródeł. Luka została załatana w Safari 26.4, iOS 18.7.7, iPadOS 18.7.7, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

Ocena ryzyka

Organizacja narażona jest na ryzyko kradzieży danych lub przejęcia sesji użytkownika, jeśli złośliwa strona wykorzysta tę lukę do przechwytywania komunikatów skryptów z innych domen.

Rekomendacja

Należy niezwłocznie zaktualizować wszystkie urządzenia Apple do najnowszych wersji systemów: iOS 18.7.7, iPadOS 18.7.7, macOS Tahoe 26.4, visionOS 26.4 oraz przeglądarkę Safari do wersji 26.4.

Oryginalny opis (angielski, źródło NVD)

A logic issue was addressed with improved state management. This issue is fixed in Safari 26.4, iOS 18.7.7 and iPadOS 18.7.7, iOS 26.4 and iPadOS 26.4, macOS Tahoe 26.4, visionOS 26.4. A malicious website may be able to access script message handlers intended for other origins.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS