Podatność w Microsoft Azure Entra ID umożliwia nieuwierzytelnionemu atakującemu zdalną eskalację uprawnień. Krytyczny poziom CVSS 9.8 wskazuje na poważne ryzyko dla organizacji korzystających z tej usługi tożsamości.
▸ Pokaż oryginał (EN)
Azure Entra ID Elevation of Privilege Vulnerability
Podatność jest sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function), co oznacza, że krytyczna funkcja systemu jest dostępna bez wymagania uwierzytelnienia. Atakujący zdalnie, bez żadnych uprawnień ani interakcji użytkownika, może wywołać tę funkcję i uzyskać podwyższone uprawnienia w usłudze Microsoft Azure Entra ID.
Atakujący może uzyskać nieuprawniony, podwyższony poziom dostępu do zasobów chronionych przez Microsoft Azure Entra ID, potencjalnie przejmując kontrolę nad tożsamościami, zasobami i danymi organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59246. Zaleca się bieżące monitorowanie komunikatów Microsoft Security Response Center w celu uzyskania szczegółowych instrukcji naprawczych.
Microsoft Entra ID — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Entra Id
APPMicrosoftwszystkie wersje
Powiązane podatności
Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation
Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C
Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing
SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing
Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)