Podatność typu Server-Side Request Forgery (SSRF) w Microsoft Power Apps pozwala nieuwierzytelnionemu atakującemu na ujawnienie informacji przez sieć. Wysoki wynik CVSS 9.1 oraz brak wymogu uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Server-Side Request Forgery (SSRF) in Microsoft Power Apps allows an unauthorized attacker to disclose information over a network
Atakujący bez żadnych uprawnień i bez interakcji użytkownika może zmusić serwer Microsoft Power Apps do wykonania żądań sieciowych w imieniu serwera — klasyczny mechanizm SSRF (CWE-918). Umożliwia to kierowanie zapytań do wewnętrznych zasobów sieciowych, które normalnie nie są dostępne z zewnątrz. W ten sposób atakujący może odczytywać dane z zasobów dostępnych po stronie serwera, w tym potencjalnie wewnętrzne usługi, metadane środowiska lub inne wrażliwe informacje.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji oraz naruszyć integralność danych (High Confidentiality, High Integrity zgodnie z wektorem CVSS). Exploitation może prowadzić do dalszego rozpoznania infrastruktury wewnętrznej organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47733
Microsoft Power Apps — wersje wskazane w referencjach producenta (Microsoft Security Response Center)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMicrosoft Power Apps
APPMicrosoftwszystkie wersje
Powiązane podatności
Podatność spoofing w Microsoft Power Apps — improper neutralization
Uncontrolled search path element in Microsoft Power Apps allows an unauthorized attacker to execute code over ...
Improper authorization in Microsoft Power Apps allows an authorized attacker to execute code over a network.
Microsoft Power Apps (online) Spoofing Vulnerability
Microsoft Power Apps Spoofing Vulnerability