CRITICAL✓ PATCH🇬🇧 English

CVE-2026-23652

Command injection w Microsoft Power Pages umożliwia zdalne wykonanie kodu

CVSS 10.0v3.1pub. 2026-05-22upd. 2026-05-27

Podatność typu command injection w Microsoft Power Pages pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć. Uzyskała maksymalną ocenę CVSS 10.0, co czyni ją podatnością krytyczną wymagającą natychmiastowej reakcji.

Pokaż oryginał (EN)

Improper neutralization of special elements used in a command ('command injection') in Microsoft Power Pages allows an unauthorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń systemowych (CWE-77: command injection). Atakujący może przesłać spreparowane dane przez sieć bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika. Wektor ataku sieciowy (AV:N), brak wymagań co do uprawnień (PR:N) i brak interakcji użytkownika (UI:N) sprawiają, że atak może być przeprowadzony w pełni automatycznie.

Skutki

Atakujący może wykonać dowolny kod na serwerze hostującym Microsoft Power Pages, uzyskując pełną kontrolę nad poufnością, integralnością i dostępnością systemu — w tym potencjalnie nad zasobami wykraczającymi poza bezpośredni zakres podatnej usługi (S:C).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23652. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do instancji Microsoft Power Pages oraz monitorowanie ruchu pod kątem anomalii.

Kogo dotyczy

Microsoft Power Pages — wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Power Pages

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-24989HIGH8.2⚠ KEVten sam produkt

An improper access control vulnerability in Power Pages allows an unauthorized attacker to elevate privileges ...

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty