Podatność w Azure Resource Manager (ARM) pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć bez żadnej interakcji użytkownika. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją jednym z najpoważniejszych zagrożeń dla środowisk Azure.
▸ Pokaż oryginał (EN)
Improper authentication in Azure Resource Manager (ARM) allows an unauthorized attacker to elevate privileges over a network.
Błąd polega na nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287) w Azure Resource Manager. Atakujący może wysłać specjalnie przygotowane żądania sieciowe do ARM bez posiadania prawidłowych poświadczeń, a usługa błędnie traktuje takie żądania jako autoryzowane. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień wstępnych (PR:N) ani interakcji po stronie użytkownika (UI:N), a zakres ataku wykracza poza bezpośrednio podatny komponent (S:C).
Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w środowisku Azure, potencjalnie przejmując kontrolę nad zasobami chmurowymi, odczytując poufne dane, modyfikując konfiguracje infrastruktury lub powodując jej niedostępność.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o aktualizacji dostępne pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47280. Jako środek doraźny zaleca się ograniczenie dostępu sieciowego do ARM oraz monitorowanie logów pod kątem nieautoryzowanych wywołań API.
Azure Resource Manager (ARM) — wersje wskazane w referencjach producenta (Microsoft Security Response Center)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Resource Manager
APPMicrosoftwszystkie wersje
Powiązane podatności
Pominięcie uwierzytelnienia w Azure Local Disconnected Operations — eskalacja uprawnień
Nieprawidłowa kontrola dostępu w Azure Resource Manager — privilege escalation
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych