← voltar
CVE-2021-1879

CVE-2021-1879

CVSS 6.1 MEDIUMEPSS 7.1%● KEVCWE-79
Vexday Risk Score
43Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 6.1EPSS 7.1%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
02 abr 2021Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
Recomendação: Planejar correção próxima — já existe PoC pública.
Em resumo

Uma falha em como dispositivos Apple processam conteúdo web permite que atacantes injetem scripts maliciosos que contornam proteções de segurança, podendo afetar qualquer site que você visite. O problema ocorre porque o sistema não limpa corretamente objetos temporários após o uso.

Detalhe técnico

Uma vulnerabilidade de use-after-free no gerenciamento de tempo de vida de objetos permite ataques XSS que escapam das restrições de sandbox. A exploração requer o processamento de conteúdo web especialmente preparado; a falha afeta a gerência de memória do WebKit e pode levar à execução de scripts arbitrários em qualquer origem.

Resumo gerado e traduzido por IA a partir da descrição oficial.
This issue was addressed by improved management of object lifetimes. This issue is fixed in iOS 12.5.2, iOS 14.4.2 and iPadOS 14.4.2, watchOS 7.3.3. Processing maliciously crafted web content may lead to universal cross site scripting. Apple is aware of a report that this issue may have been actively exploited..
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
Apple · iOSApple · iOS and iPadOSApple · watchOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://support.apple.com/en-us/HT212256https://support.apple.com/en-us/HT212257https://support.apple.com/en-us/HT212258https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-1879