CVE-2026-28861
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W przeglądarce Safari oraz systemach Apple wykryto problem logiczny w zarządzaniu stanem, który może pozwolić złośliwej stronie internetowej na dostęp do procedur obsługi komunikatów skryptów przeznaczonych dla innych źródeł. Luka została załatana w Safari 26.4, iOS 18.7.7, iPadOS 18.7.7, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.
Ocena ryzyka
Organizacja narażona jest na ryzyko kradzieży danych lub przejęcia sesji użytkownika, jeśli złośliwa strona wykorzysta tę lukę do przechwytywania komunikatów skryptów z innych domen.
Rekomendacja
Należy niezwłocznie zaktualizować wszystkie urządzenia Apple do najnowszych wersji systemów: iOS 18.7.7, iPadOS 18.7.7, macOS Tahoe 26.4, visionOS 26.4 oraz przeglądarkę Safari do wersji 26.4.
Oryginalny opis (angielski, źródło NVD)
A logic issue was addressed with improved state management. This issue is fixed in Safari 26.4, iOS 18.7.7 and iPadOS 18.7.7, iOS 26.4 and iPadOS 26.4, macOS Tahoe 26.4, visionOS 26.4. A malicious website may be able to access script message handlers intended for other origins.

