Podatność w Microsoft Entra ID pozwala nieuwierzytelnionemu atakującemu na podniesienie uprawnień przez sieć. Krytyczny poziom zagrożenia (CVSS 10.0) wynika z braku wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełnego wpływu na poufność, integralność i dostępność.
▸ Pokaż oryginał (EN)
Origin validation error in Microsoft Entra ID allows an unauthorized attacker to elevate privileges over a network.
Podatność wynika z błędu walidacji pochodzenia żądania (CWE-346 — Origin Validation Error), co oznacza, że Microsoft Entra ID nieprawidłowo weryfikuje, skąd pochodzi żądanie sieciowe. Atakujący może wysyłać spreparowane żądania, które są traktowane jako pochodzące z zaufanego źródła. Dzięki temu możliwe jest obejście mechanizmów kontroli dostępu i uzyskanie podwyższonych uprawnień bez posiadania jakichkolwiek poświadczeń.
Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w środowisku Microsoft Entra ID, co potencjalnie prowadzi do pełnego przejęcia kontroli nad tożsamościami, zasobami i konfiguracją usługi w zakresie wykraczającym poza oryginalny kontekst ataku (scope changed).
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42901
Microsoft Entra ID — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Entra Id
APPMicrosoftwszystkie wersje
Powiązane podatności
Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C
Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing
SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing
Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)
Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)