CRITICAL🇬🇧 English

CVE-2025-30466

Obejście Same Origin Policy w produktach Apple (Safari, iOS, macOS, visionOS)

CVSS 9.8v3.1pub. 2025-05-29upd. 2026-04-02

Podatność w mechanizmie zarządzania stanem umożliwia złośliwej witrynie internetowej obejście polityki Same Origin Policy (SOP). Jest to groźne, ponieważ SOP stanowi fundamentalną barierę izolującą treści z różnych domen w przeglądarce.

Pokaż oryginał (EN)

This issue was addressed through improved state management. This issue is fixed in Safari 18.4, iOS 18.4 and iPadOS 18.4, macOS Sequoia 15.4, visionOS 2.4. A website may be able to bypass Same Origin Policy.

🤖 Analiza AI
Jak działa

Problem wynika z nieprawidłowego zarządzania stanem w silniku przeglądarki Safari. Dzięki tej luce złośliwa witryna może obejść mechanizm Same Origin Policy, który normalnie uniemożliwia stronom dostęp do zasobów i danych należących do innych domen. Apple naprawiło błąd poprzez usprawnienie zarządzania stanem.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych z innych domen odwiedzanych przez ofiarę, co może prowadzić do kradzieży sesji, ciasteczek, wrażliwych informacji lub manipulacji treściami w kontekście innych witryn.

Mitygacja

Należy zaktualizować do wersji: Safari 18.4, iOS 18.4, iPadOS 18.4, macOS Sequoia 15.4 lub visionOS 2.4. Patche dostępne w ramach standardowych aktualizacji Apple — szczegóły pod adresami referencyjnymi producenta.

Kogo dotyczy

Safari przed wersją 18.4, iOS i iPadOS przed wersją 18.4, macOS Sequoia przed wersją 15.4, visionOS przed wersją 2.4

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple iPadOS

    OS
    Apple
    < 18.4
  • Apple iOS

    OS
    Apple
    < 18.4
  • Apple macOS

    OS
    Apple
    < 15.4
  • Apple Safari

    APP
    Apple
    < 18.4
  • Apple Visionos

    OS
    Apple
    < 2.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-31200CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple — memory corruption (RCE) w przetwarzaniu strumieni audio

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki