Podatność typu command injection w Microsoft Power Pages pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć. Uzyskała maksymalną ocenę CVSS 10.0, co czyni ją podatnością krytyczną wymagającą natychmiastowej reakcji.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in a command ('command injection') in Microsoft Power Pages allows an unauthorized attacker to execute code over a network.
Błąd polega na nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń systemowych (CWE-77: command injection). Atakujący może przesłać spreparowane dane przez sieć bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika. Wektor ataku sieciowy (AV:N), brak wymagań co do uprawnień (PR:N) i brak interakcji użytkownika (UI:N) sprawiają, że atak może być przeprowadzony w pełni automatycznie.
Atakujący może wykonać dowolny kod na serwerze hostującym Microsoft Power Pages, uzyskując pełną kontrolę nad poufnością, integralnością i dostępnością systemu — w tym potencjalnie nad zasobami wykraczającymi poza bezpośredni zakres podatnej usługi (S:C).
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23652. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do instancji Microsoft Power Pages oraz monitorowanie ruchu pod kątem anomalii.
Microsoft Power Pages — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Power Pages
APPMicrosoftwszystkie wersje
Powiązane podatności
An improper access control vulnerability in Power Pages allows an unauthorized attacker to elevate privileges ...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty