🔴 严重 | CVE-2026-47646 — Improper neutralization of input during web page g...
🔴 《严重安全漏洞:CVE-2026-47646》
CVSS 评分: 严重(9.3) 状态: Received 发布时间: 2026-07-09
漏洞简介
CVE-2026-47646 是一个存在于 Microsoft Dynamics 365 Customer Voice 中的跨站脚本(Cross-Site Scripting,XSS)漏洞,对应 CWE-79 分类(Web 页面生成过程中对输入的不当中和)。该漏洞源于系统在生成网页时未能正确过滤或转义用户输入,导致攻击者能够向正常页面中注入恶意脚本代码。
攻击者可以利用该漏洞通过网络执行欺骗攻击(spoofing),即通过注入恶意内容来伪造页面或诱导用户执行非预期操作。由于该漏洞的 CVSS 向量为 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N,表明攻击者无需身份验证(PR:N),只需诱使用户点击恶意链接或访问特制页面(UI:R),即可在用户浏览器上下文中执行恶意脚本,进而窃取敏感信息或篡改页面内容。
影响范围
该漏洞影响 Microsoft Dynamics 365 Customer Voice 产品。根据微软官方安全更新指南(参考链接),受影响的版本包括特定版本的 Dynamics 365 Customer Voice 组件。用户应参考微软发布的更新公告,确认自己使用的版本是否在受影响范围内,并及时应用安全补丁。
风险分析
- 攻击复杂度低:攻击者无需高级权限或复杂条件,仅需构造恶意输入并诱导用户交互即可触发漏洞。
- 影响机密性与完整性:CVSS 评分中机密性(Confidentiality)和完整性(Integrity)均为高(H),意味着攻击者可能窃取用户会话令牌、表单数据等敏感信息,或篡改页面显示内容实施钓鱼攻击。
- 攻击后果:成功利用该漏洞可能导致攻击者在受害者浏览器中执行任意脚本,进而冒充合法用户执行操作、窃取凭据或传播恶意链接。由于漏洞影响范围涉及网络交互,企业环境中若存在未修补的实例,可能面临数据泄露或品牌信誉受损的风险。
建议受影响用户立即参考微软官方安全公告,安装最新安全更新以修复该漏洞。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-47646 |
| CVSS 评分 | 9.3 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
| CWE 分类 | CWE-79 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Received |
| 数据来源 | secure@microsoft.com |
🔗 参考链接
💬 评论