Podatność w Microsoft Bing polega na deserializacji niezaufanych danych, co pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją wyjątkowo krytyczną.
▸ Pokaż oryginał (EN)
Deserialization of untrusted data in Microsoft Bing allows an unauthorized attacker to execute code over a network.
Mechanizm ataku opiera się na błędzie CWE-502 — deserializacji niezaufanych danych wejściowych. Atakujący wysyła spreparowany payload do podatnego komponentu Microsoft Bing, który następnie deserializuje jego zawartość bez odpowiedniej walidacji. Prowadzi to do wykonania przez aplikację złośliwego kodu dostarczonego przez atakującego. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a jego zasięg wykracza poza granicę bezpośrednio atakowanego komponentu (Scope: Changed).
Atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym poufność, integralność i dostępność danych — co odpowiada maksymalnemu poziomowi wpływu we wszystkich trzech kategoriach CVSS. Skuteczne wykorzystanie podatności może prowadzić do przejęcia środowiska, kradzieży danych lub dalszego lateral movement w infrastrukturze.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33819. W przypadku braku możliwości natychmiastowego wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do podatnych komponentów oraz wzmożony monitoring ruchu sieciowego pod kątem anomalii.
Microsoft Bing — wersje wskazane w referencjach producenta (Microsoft Security Response Center)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Bing
APPMicrosoftwszystkie wersje
Powiązane podatności
SSRF w Microsoft Bing umożliwia eskalację uprawnień przez sieć
Missing Authentication for Critical Function in Microsoft Bing allows an unauthorized attacker to execute code...
User interface (ui) misrepresentation of critical information in Microsoft Bing allows an unauthorized attacke...
Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to perform tampering over...
Microsoft Bing Search Spoofing Vulnerability