CRITICAL✓ PATCH🇬🇧 English

CVE-2026-42901

Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation

CVSS 10.0v3.1pub. 2026-05-22upd. 2026-05-27

Podatność w Microsoft Entra ID pozwala nieuwierzytelnionemu atakującemu na podniesienie uprawnień przez sieć. Krytyczny poziom zagrożenia (CVSS 10.0) wynika z braku wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełnego wpływu na poufność, integralność i dostępność.

Pokaż oryginał (EN)

Origin validation error in Microsoft Entra ID allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu walidacji pochodzenia żądania (CWE-346 — Origin Validation Error), co oznacza, że Microsoft Entra ID nieprawidłowo weryfikuje, skąd pochodzi żądanie sieciowe. Atakujący może wysyłać spreparowane żądania, które są traktowane jako pochodzące z zaufanego źródła. Dzięki temu możliwe jest obejście mechanizmów kontroli dostępu i uzyskanie podwyższonych uprawnień bez posiadania jakichkolwiek poświadczeń.

Skutki

Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w środowisku Microsoft Entra ID, co potencjalnie prowadzi do pełnego przejęcia kontroli nad tożsamościami, zasobami i konfiguracją usługi w zakresie wykraczającym poza oryginalny kontekst ataku (scope changed).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42901

Kogo dotyczy

Microsoft Entra ID — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Entra Id

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-33843CRITICAL9.1PL ✓ten sam produkt

Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C

CVE-2026-40379CRITICAL9.3PL ✓ten sam produkt

Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing

CVE-2026-35431CRITICAL10.0PL ✓ten sam produkt

SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing

CVE-2026-24305CRITICAL9.3PL ✓ten sam produkt

Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)

CVE-2025-59246CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)

CVE-2026-42901 — Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation — CRITICAL 10.0 | CVEbaza.pl