CRITICAL✓ PATCH🇬🇧 English

CVE-2026-47291

RCE przez integer overflow w Windows HTTP.sys (CVE-2026-47291)

CVSS 9.8v3.1pub. 2026-06-09upd. 2026-06-10

Podatność integer overflow w sterowniku HTTP.sys systemu Windows umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) przez sieć. Ze względu na brak wymogu uwierzytelnienia oraz pełne uprawnienia do systemu, podatność jest oceniana jako krytyczna (CVSS 9.8).

Pokaż oryginał (EN)

Integer overflow or wraparound in Windows HTTP.sys allows an unauthorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Błąd należy do kategorii CWE-122 (heap-based buffer overflow) oraz CWE-190 (integer overflow or wraparound). Atakujący wysyła specjalnie spreparowane żądania HTTP do komponentu HTTP.sys, wywołując przepełnienie liczby całkowitej, które prowadzi do przepełnienia bufora na stercie (heap). Umożliwia to nadpisanie pamięci procesu i wykonanie dowolnego kodu w kontekście jądra systemu operacyjnego. Podatność jest eksploitowalna zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Skutki

Atakujący może zdalnie wykonać dowolny kod na poziomie jądra systemu Windows (kernel-mode RCE), uzyskując pełną kontrolę nad zaatakowanym hostem, w tym dostęp do poufnych danych, możliwość modyfikacji systemu oraz potencjalne lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47291. Do czasu wdrożenia poprawki rozważ ograniczenie dostępu sieciowego do usług korzystających z HTTP.sys (np. IIS, WinRM) za pomocą firewall.

Kogo dotyczy

Systemy Windows korzystające ze sterownika HTTP.sys — wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft Windows 10 1607

    OS
    Microsoft
    < 10.0.14393.9234
  • Microsoft Windows 10 1809

    OS
    Microsoft
    < 10.0.17763.8880
  • Microsoft Windows 10 21h2

    OS
    Microsoft
    < 10.0.19044.7417
  • Microsoft Windows 10 22h2

    OS
    Microsoft
    < 10.0.19045.7417
  • Microsoft Windows 11 23h2

    OS
    Microsoft
    < 10.0.22631.7219
  • Microsoft Windows 11 24h2

    OS
    Microsoft
    < 10.0.26100.8655
  • Microsoft Windows 11 25h2

    OS
    Microsoft
    < 10.0.26200.8655
  • Microsoft Windows 11 26h1

    OS
    Microsoft
    < 10.0.28000.2269
  • Microsoft Windows Server 2012

    OS
    Microsoft
    r2
  • Microsoft Windows Server 2016

    OS
    Microsoft
    < 10.0.14393.9234
  • Microsoft Windows Server 2019

    OS
    Microsoft
    < 10.0.17763.8880
  • Microsoft Windows Server 2022

    OS
    Microsoft
    < 10.0.20348.5256
  • Microsoft Windows Server 2025

    OS
    Microsoft
    < 10.0.26100.32995
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2020-1350CRITICAL10.0⚠ KEVten sam produkt

A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...

CVE-2020-1040CRITICAL9.0⚠ KEVten sam produkt

A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...

CVE-2020-0646CRITICAL9.8⚠ KEVten sam produkt

A remote code execution vulnerability exists when the Microsoft .NET Framework fails to validate input properl...

CVE-2017-8543CRITICAL9.8⚠ KEVten sam produkt

Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows S...