CRITICAL✓ PATCH🇬🇧 English

CVE-2026-32210

SSRF w Microsoft Dynamics 365 umożliwia spoofing sieciowy

CVSS 9.3v3.1pub. 2026-04-23upd. 2026-05-05

Podatność typu Server-Side Request Forgery (SSRF) w Microsoft Dynamics 365 (Online) pozwala nieuwierzytelnionemu atakującemu na wykonanie spoofingu przez sieć. Wysoki wynik CVSS 9.3 oraz brak wymaganych uprawnień czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Server-side request forgery (ssrf) in Microsoft Dynamics 365 (Online) allows an unauthorized attacker to perform spoofing over a network.

🤖 Analiza AI
Jak działa

Atakujący, bez posiadania jakichkolwiek uprawnień, może nakłonić serwer Microsoft Dynamics 365 do wysyłania spreparowanych żądań sieciowych w imieniu serwera (SSRF). Mechanizm ten pozwala na przekierowanie ruchu przez serwer aplikacyjny do wewnętrznych lub zewnętrznych zasobów sieciowych, co skutkuje możliwością spoofingu tożsamości serwera. Podatność wymaga interakcji użytkownika (np. otwarcia złośliwego łącza), co wskazuje na możliwy wektor ataku przez phishing lub spreparowane treści.

Skutki

Atakujący może przeprowadzić spoofing sieciowy, potencjalnie uzyskując dostęp do poufnych danych (wysoka poufność) lub modyfikując dane (wysoka integralność) poprzez wymuszenie na serwerze wykonania żądań do zasobów wewnętrznych lub zewnętrznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Microsoft Security Response Center (MSRC): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32210

Kogo dotyczy

Microsoft Dynamics 365 (Online) — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Microsoft Dynamics 365

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-47647CRITICAL9.9ten sam produkt

Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a n...

CVE-2026-42833CRITICAL9.1PL ✓ten sam produkt

Code injection w Microsoft Dynamics 365 On-Premises — zdalne wykonanie kodu

CVE-2026-42898CRITICAL9.9PL ✓ten sam produkt

Code injection w Microsoft Dynamics 365 (on-premises) umożliwiający RCE

CVE-2024-38182CRITICAL9.0PL ✓ten sam produkt

Słabe uwierzytelnianie w Microsoft Dynamics 365 umożliwia privilege escalation

CVE-2025-62210HIGH8.7ten sam produkt

Improper neutralization of input during web page generation ('cross-site scripting') in Dynamics 365 Field Ser...

CVE-2026-32210 — SSRF w Microsoft Dynamics 365 umożliwia spoofing sieciowy — CRITICAL 9.3 | CVEbaza.pl