W Microsoft Power Apps wykryto podatność polegającą na nieprawidłowej neutralizacji sekwencji escape, meta lub sterujących (CWE-150), sklasyfikowaną jako KRYTYCZNA z wynikiem CVSS 9.0. Autoryzowany atakujący może przeprowadzić atak spoofing przez sieć, potencjalnie manipulując danymi prezentowanymi użytkownikom lub systemom.
▸ Pokaż oryginał (EN)
Improper neutralization of escape, meta, or control sequences in Microsoft Power Apps allows an authorized attacker to perform spoofing over a network.
Podatność wynika z niewystarczającego przetwarzania (sanityzacji) sekwencji specjalnych — escape, meta lub sterujących — w Microsoft Power Apps. Uwierzytelniony atakujący może dostarczyć spreparowane dane wejściowe zawierające takie sekwencje, które nie są właściwie neutralizowane przez aplikację. Wymaga to interakcji ze strony ofiary (UI:R), co wskazuje, że atakujący może np. nakłonić użytkownika do otwarcia złośliwej zawartości. Dzięki temu możliwe jest przeprowadzenie ataku spoofing w kontekście sieciowym z wpływem na poufność, integralność i dostępność przekraczającym granice komponentu (Scope:Changed).
Atakujący może przeprowadzić skuteczny atak spoofing przez sieć, potencjalnie fałszując tożsamość lub treści prezentowane użytkownikom, co może prowadzić do naruszenia poufności, integralności oraz dostępności danych przetwarzanych przez Microsoft Power Apps.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26149
Microsoft Power Apps — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:HMicrosoft Power Apps
APPMicrosoft< 3.26032.10.0
Powiązane podatności
SSRF w Microsoft Power Apps umożliwia nieautoryzowane ujawnienie informacji
Uncontrolled search path element in Microsoft Power Apps allows an unauthorized attacker to execute code over ...
Improper authorization in Microsoft Power Apps allows an authorized attacker to execute code over a network.
Microsoft Power Apps (online) Spoofing Vulnerability
Microsoft Power Apps Spoofing Vulnerability