CRITICAL✓ PATCH🇬🇧 English

CVE-2026-42826

Ujawnienie wrażliwych informacji w Microsoft Azure DevOps (CVE-2026-42826)

CVSS 10.0v3.1pub. 2026-05-07upd. 2026-05-08

Podatność w Microsoft Azure DevOps umożliwia nieuwierzytelnionemu atakującemu zdalne ujawnienie wrażliwych informacji przez sieć. Krytyczny poziom zagrożenia (CVSS 10.0) wynika z braku wymagań co do uprawnień, interakcji użytkownika oraz szerokiego zakresu potencjalnego wycieku danych.

Pokaż oryginał (EN)

Exposure of sensitive information to an unauthorized actor in Azure DevOps allows an unauthorized attacker to disclose information over a network.

🤖 Analiza AI
Jak działa

Luka sklasyfikowana jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na nieprawidłowym kontrolowaniu dostępu do chronionych zasobów lub danych w usłudze Azure DevOps. Atakujący nieposiadający żadnych uprawnień może za pośrednictwem sieci wysłać odpowiednio spreparowane żądanie i uzyskać dostęp do informacji, które powinny być dostępne wyłącznie dla autoryzowanych użytkowników. Podatność nie wymaga interakcji ze strony ofiary, a jej zasięg wykracza poza pierwotnie atakowany komponent (zakres zmieniony — Scope: Changed).

Skutki

Atakujący może zdalnie i bez uwierzytelnienia ujawnić wrażliwe informacje przechowywane lub przetwarzane przez Azure DevOps, co może obejmować dane projektów, kodu źródłowego, konfiguracji pipeline'ów, tokenów lub innych poufnych zasobów organizacji. Wyciek takich danych może prowadzić do dalszych ataków na infrastrukturę IT.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące aktualizacji opublikowane są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42826

Kogo dotyczy

Microsoft Azure DevOps — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Devops

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-47158CRITICAL9.0PL ✓ten sam produkt

Authentication Bypass w Azure DevOps — eskalacja uprawnień przez sieć

CVE-2025-29813CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Azure DevOps — eskalacja uprawnień przez sieć

CVE-2026-23658HIGH8.6ten sam produkt

Insufficiently protected credentials in Azure DevOps allows an unauthorized attacker to elevate privileges ove...

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server