文章总结: MicrosoftEdge存在关键漏洞CVE-2026-45495,允许远程代码执行,CVSS7.5,需用户交互。漏洞源于反馈日志文件路径验证缺陷。建议立即更新Edge并应用安全补丁,同时限制用户权限、监控异常文件操作。另修复了CVE-2026-45494和CVE-2026-45492两个漏洞。 综合评分: 75 文章分类: 漏洞分析,web安全,漏洞预警,安全意识
Microsoft Edge漏洞允许远程攻击者执行任意代码
网安百色
2026年6月6日 18:50 广西
在小说阅读器读本章
去阅读
Microsoft 已发布安全更新,修复 Microsoft Edge 中的一个关键漏洞,该漏洞可能允许远程攻击者在易受攻击的系统上执行任意代码。
该漏洞编号为 CVE-2026-45495,由 DEVCORE 的 Orange Tsai 报告,CVSS v3 评分为 7.5,需用户交互(例如访问恶意网页或打开特制文件)方可被利用。
漏洞源于 Edge 处理反馈日志文件时的验证不当。具体而言,Edge 在执行文件操作前未能正确验证用户提供的文件路径。
攻击者若诱使用户打开恶意文件或访问特制页面,可利用此缺陷结合其他漏洞,在已登录用户上下文中运行代码。
由于漏洞利用将以当前用户权限执行,其影响范围包括数据窃取、浏览器配置文件泄露,以及在存在更高权限时实现本地持久化或横向移动。
根据公开公告,根本原因是反馈日志处理中的路径验证缺陷。通过提供特制路径,攻击者可使文件操作在非预期位置执行。
尽管 Microsoft 公告未公布漏洞利用代码,但该漏洞特性(文件访问路径操纵叠加需用户交互)表明社会工程攻击向量(如恶意附件、挂马页面或污染下载)可能是主要传播机制。
Microsoft 此次更新还同步修复了同一研究团队发现的另外两个 Edge 漏洞:
CVE-2026-45494(CVSS 5.0):导航处理缺陷,可能导致跨源脚本注入;需用户交互。 CVE-2026-45492(CVSS 4.3):跨设备管理登录中来源验证不足,可能暴露受限功能,可与其他问题组合利用。
Microsoft 已发布修复程序,并敦促用户和管理员立即应用更新。建议操作如下:
更新 Edge 至最新稳定版,通过 Microsoft Update 或 Edge 关于页面完成。 若 Microsoft Update 提示,同步安装操作系统补丁。 拦截或严格审查电子邮件和消息应用中的不可信附件及链接。 日常活动使用最小权限账户,以限制漏洞利用影响。 监控端点检测系统,排查与浏览器进程关联的异常文件操作或新型持久化机制。
该漏洞于 2026 年 5 月 20 日报告给 Microsoft,协调后的公开公告于 2026 年 6 月 4 日发布并更新。DEVCORE 研究团队(@d3vc0r3)的 Orange Tsai(@orange_8361)获致谢。
鉴于 CVE-2026-45495 的代码执行风险,管理员应优先部署该漏洞更新,并确保用户终端全面修补以降低暴露面。
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安百色 《Microsoft Edge漏洞允许远程攻击者执行任意代码》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论