CRITICAL✓ PATCH🇬🇧 English

CVE-2026-33819

Zdalna deserializacja danych w Microsoft Bing umożliwia RCE

CVSS 10.0v3.1pub. 2026-04-23upd. 2026-05-05

Podatność w Microsoft Bing polega na deserializacji niezaufanych danych, co pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) przez sieć. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją wyjątkowo krytyczną.

Pokaż oryginał (EN)

Deserialization of untrusted data in Microsoft Bing allows an unauthorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Mechanizm ataku opiera się na błędzie CWE-502 — deserializacji niezaufanych danych wejściowych. Atakujący wysyła spreparowany payload do podatnego komponentu Microsoft Bing, który następnie deserializuje jego zawartość bez odpowiedniej walidacji. Prowadzi to do wykonania przez aplikację złośliwego kodu dostarczonego przez atakującego. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a jego zasięg wykracza poza granicę bezpośrednio atakowanego komponentu (Scope: Changed).

Skutki

Atakujący może uzyskać pełną kontrolę nad podatnym systemem, w tym poufność, integralność i dostępność danych — co odpowiada maksymalnemu poziomowi wpływu we wszystkich trzech kategoriach CVSS. Skuteczne wykorzystanie podatności może prowadzić do przejęcia środowiska, kradzieży danych lub dalszego lateral movement w infrastrukturze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33819. W przypadku braku możliwości natychmiastowego wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do podatnych komponentów oraz wzmożony monitoring ruchu sieciowego pod kątem anomalii.

Kogo dotyczy

Microsoft Bing — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Bing

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-32186CRITICAL10.0PL ✓ten sam produkt

SSRF w Microsoft Bing umożliwia eskalację uprawnień przez sieć

CVE-2025-21355HIGH8.6ten sam produkt

Missing Authentication for Critical Function in Microsoft Bing allows an unauthorized attacker to execute code...

CVE-2026-45650MEDIUM4.3ten sam produkt

User interface (ui) misrepresentation of critical information in Microsoft Bing allows an unauthorized attacke...

CVE-2026-26120MEDIUM6.5ten sam produkt

Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to perform tampering over...

CVE-2021-33753MEDIUM4.7ten sam produkt

Microsoft Bing Search Spoofing Vulnerability

CVE-2026-33819 — Zdalna deserializacja danych w Microsoft Bing umożliwia RCE — CRITICAL 10.0 | CVEbaza.pl