CRITICAL✓ PATCH🇬🇧 English

CVE-2026-33105

Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień

CVSS 10.0v3.1pub. 2026-04-03upd. 2026-04-06

Podatność w Microsoft Azure Kubernetes Service umożliwia nieuwierzytelnionemu atakującemu zdalne podniesienie uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — pełne naruszenie poufności, integralności i dostępności zasobów.

Pokaż oryginał (EN)

Improper authorization in Microsoft Azure Kubernetes Service allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej autoryzacji (CWE-285, CWE-863), co oznacza, że mechanizmy kontroli dostępu w Microsoft Azure Kubernetes Service nie weryfikują poprawnie uprawnień żądającego. Atakujący bez żadnych poświadczeń, działając zdalnie przez sieć, może obejść te kontrole i uzyskać podwyższone uprawnienia. Wektor ataku nie wymaga interakcji użytkownika ani specjalnych warunków wstępnych, co czyni exploit szczególnie łatwym do przeprowadzenia na szeroką skalę.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Kubernetes Service, co potencjalnie prowadzi do pełnego przejęcia kontroli nad klastrem, ujawnienia wrażliwych danych oraz zakłócenia działania hostowanych aplikacji kontenerowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje opisane w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33105. Zaleca się natychmiastowe sprawdzenie dostępności poprawek i ich wdrożenie oraz monitorowanie nieautoryzowanych prób dostępu do klastrów AKS.

Kogo dotyczy

Microsoft Azure Kubernetes Service — wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33105)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Kubernetes Service

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2024-21376CRITICAL9.0PL ✓ten sam produkt

RCE w Microsoft Azure Kubernetes Service Confidential Containers

CVE-2024-21403CRITICAL9.0PL ✓ten sam produkt

Privilege escalation w Azure Kubernetes Service Confidential Containers

CVE-2023-29332HIGH7.5ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVE-2021-27075MEDIUM6.8ten sam produkt

Azure Virtual Machine Information Disclosure Vulnerability

CVE-2021-24109MEDIUM6.8ten sam produkt

Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVE-2026-33105 — Nieprawidłowa autoryzacja w Microsoft Azure Kubernetes Service — eskalacja uprawnień — CRITICAL 10.0 | CVEbaza.pl