2月23日消息，根据ZDNet报告，安全研究人员维沙尔·巴拉德(Vishal Bharad)表示，在苹果iCloud网站找到了可以允许黑客注入病毒或恶意脚本的漏洞。目前，苹果公司已经修复了这个漏洞。

存储式XSS漏洞也被称为持久性XSS，可用于在目标服务器上存储有效载荷，并借助其将恶意脚本注入网站，可能被用于窃取cookie、会话令牌和浏览器数据。巴拉德表示，这次安全漏洞包括在iCloud网站创建Pages或Keynote文档，名称包含XSS payload。将创建好的文档分享，然后更改、保存，在设置中点击查看所有版本，可以触发XSS payload。此外，此漏洞需要苹果在服务器端修复。

据悉，巴拉德在2020年8月7日向苹果递交了安全漏洞，并在2020年10月9日获得了5000美元赏金。

关键词： 苹果 iCloud网站