CRITICAL✓ PATCH🇬🇧 English

CVE-2025-47733

SSRF w Microsoft Power Apps umożliwia nieautoryzowane ujawnienie informacji

CVSS 9.1v3.1pub. 2025-05-08upd. 2025-05-21

Podatność typu Server-Side Request Forgery (SSRF) w Microsoft Power Apps pozwala nieuwierzytelnionemu atakującemu na ujawnienie informacji przez sieć. Wysoki wynik CVSS 9.1 oraz brak wymogu uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Server-Side Request Forgery (SSRF) in Microsoft Power Apps allows an unauthorized attacker to disclose information over a network

🤖 Analiza AI
Jak działa

Atakujący bez żadnych uprawnień i bez interakcji użytkownika może zmusić serwer Microsoft Power Apps do wykonania żądań sieciowych w imieniu serwera — klasyczny mechanizm SSRF (CWE-918). Umożliwia to kierowanie zapytań do wewnętrznych zasobów sieciowych, które normalnie nie są dostępne z zewnątrz. W ten sposób atakujący może odczytywać dane z zasobów dostępnych po stronie serwera, w tym potencjalnie wewnętrzne usługi, metadane środowiska lub inne wrażliwe informacje.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji oraz naruszyć integralność danych (High Confidentiality, High Integrity zgodnie z wektorem CVSS). Exploitation może prowadzić do dalszego rozpoznania infrastruktury wewnętrznej organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47733

Kogo dotyczy

Microsoft Power Apps — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Microsoft Power Apps

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-26149CRITICAL9.0PL ✓ten sam produkt

Podatność spoofing w Microsoft Power Apps — improper neutralization

CVE-2026-32172HIGH8.0ten sam produkt

Uncontrolled search path element in Microsoft Power Apps allows an unauthorized attacker to execute code over ...

CVE-2026-20960HIGH8.0ten sam produkt

Improper authorization in Microsoft Power Apps allows an authorized attacker to execute code over a network.

CVE-2023-32052MEDIUM5.4ten sam produkt

Microsoft Power Apps (online) Spoofing Vulnerability

CVE-2023-32024LOW3.0ten sam produkt

Microsoft Power Apps Spoofing Vulnerability