Podatność typu Server-Side Request Forgery (SSRF) w Microsoft Dynamics 365 (Online) pozwala nieuwierzytelnionemu atakującemu na wykonanie spoofingu przez sieć. Wysoki wynik CVSS 9.3 oraz brak wymaganych uprawnień czynią tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Server-side request forgery (ssrf) in Microsoft Dynamics 365 (Online) allows an unauthorized attacker to perform spoofing over a network.
Atakujący, bez posiadania jakichkolwiek uprawnień, może nakłonić serwer Microsoft Dynamics 365 do wysyłania spreparowanych żądań sieciowych w imieniu serwera (SSRF). Mechanizm ten pozwala na przekierowanie ruchu przez serwer aplikacyjny do wewnętrznych lub zewnętrznych zasobów sieciowych, co skutkuje możliwością spoofingu tożsamości serwera. Podatność wymaga interakcji użytkownika (np. otwarcia złośliwego łącza), co wskazuje na możliwy wektor ataku przez phishing lub spreparowane treści.
Atakujący może przeprowadzić spoofing sieciowy, potencjalnie uzyskując dostęp do poufnych danych (wysoka poufność) lub modyfikując dane (wysoka integralność) poprzez wymuszenie na serwerze wykonania żądań do zasobów wewnętrznych lub zewnętrznych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Microsoft Security Response Center (MSRC): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32210
Microsoft Dynamics 365 (Online) — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NMicrosoft Dynamics 365
APPMicrosoftwszystkie wersje
Powiązane podatności
Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a n...
Code injection w Microsoft Dynamics 365 On-Premises — zdalne wykonanie kodu
Code injection w Microsoft Dynamics 365 (on-premises) umożliwiający RCE
Słabe uwierzytelnianie w Microsoft Dynamics 365 umożliwia privilege escalation
Improper neutralization of input during web page generation ('cross-site scripting') in Dynamics 365 Field Ser...