CRITICAL✓ PATCH🇬🇧 English

CVE-2026-24303

Privilege Escalation w Microsoft Partner Center przez nieprawidłową kontrolę dostępu

CVSS 9.6v3.1pub. 2026-04-23upd. 2026-04-28

Podatność w Microsoft Partner Center umożliwia uwierzytelnionemu atakującemu eskalację uprawnień przez sieć. Wysoki wynik CVSS 9.6 oraz wpływ na poufność i integralność danych czynią tę lukę krytyczną dla organizacji korzystających z platformy.

Pokaż oryginał (EN)

Improper access control in Microsoft Partner Center allows an authorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kontroli dostępu (CWE-284) w Microsoft Partner Center. Uwierzytelniony atakujący z podstawowymi uprawnieniami może, bez interakcji ze strony ofiary, wysłać odpowiednio spreparowane żądanie sieciowe, które obejdzie mechanizmy autoryzacji. W rezultacie możliwe jest uzyskanie uprawnień wykraczających poza te, do których atakujący jest uprawniony. Wektor ataku sieciowy i brak wymagań dotyczących złożoności ataku znacząco obniżają próg jego przeprowadzenia.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów i danych innych użytkowników lub organizacji w Microsoft Partner Center, potencjalnie naruszając poufność i integralność danych w środowiskach wielu dzierżawców (scope changed).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24303

Kogo dotyczy

Microsoft Partner Center — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Microsoft Partner Center

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-65041CRITICAL10.0PL ✓ten sam produkt

Nieprawidłowa autoryzacja w Microsoft Partner Center — privilege escalation

CVE-2025-29814CRITICAL9.3PL ✓ten sam produkt

Nieautoryzowana eskalacja uprawnień w Microsoft Partner Center

CVE-2024-49035HIGH8.7⚠ KEVten sam produkt

An improper access control vulnerability in Partner.Microsoft.com allows an a unauthenticated attacker to elev...

CVE-2026-34327HIGH8.2ten sam produkt

Externally controlled reference to a resource in another sphere in Microsoft Partner Center allows an unauthor...

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów