CRITICAL✓ PATCH🇬🇧 English

CVE-2026-26149

Podatność spoofing w Microsoft Power Apps — improper neutralization

CVSS 9.0v3.1pub. 2026-04-14upd. 2026-05-07

W Microsoft Power Apps wykryto podatność polegającą na nieprawidłowej neutralizacji sekwencji escape, meta lub sterujących (CWE-150), sklasyfikowaną jako KRYTYCZNA z wynikiem CVSS 9.0. Autoryzowany atakujący może przeprowadzić atak spoofing przez sieć, potencjalnie manipulując danymi prezentowanymi użytkownikom lub systemom.

Pokaż oryginał (EN)

Improper neutralization of escape, meta, or control sequences in Microsoft Power Apps allows an authorized attacker to perform spoofing over a network.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającego przetwarzania (sanityzacji) sekwencji specjalnych — escape, meta lub sterujących — w Microsoft Power Apps. Uwierzytelniony atakujący może dostarczyć spreparowane dane wejściowe zawierające takie sekwencje, które nie są właściwie neutralizowane przez aplikację. Wymaga to interakcji ze strony ofiary (UI:R), co wskazuje, że atakujący może np. nakłonić użytkownika do otwarcia złośliwej zawartości. Dzięki temu możliwe jest przeprowadzenie ataku spoofing w kontekście sieciowym z wpływem na poufność, integralność i dostępność przekraczającym granice komponentu (Scope:Changed).

Skutki

Atakujący może przeprowadzić skuteczny atak spoofing przez sieć, potencjalnie fałszując tożsamość lub treści prezentowane użytkownikom, co może prowadzić do naruszenia poufności, integralności oraz dostępności danych przetwarzanych przez Microsoft Power Apps.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26149

Kogo dotyczy

Microsoft Power Apps — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Microsoft Power Apps

    APP
    Microsoft
    < 3.26032.10.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-47733CRITICAL9.1PL ✓ten sam produkt

SSRF w Microsoft Power Apps umożliwia nieautoryzowane ujawnienie informacji

CVE-2026-32172HIGH8.0ten sam produkt

Uncontrolled search path element in Microsoft Power Apps allows an unauthorized attacker to execute code over ...

CVE-2026-20960HIGH8.0ten sam produkt

Improper authorization in Microsoft Power Apps allows an authorized attacker to execute code over a network.

CVE-2023-32052MEDIUM5.4ten sam produkt

Microsoft Power Apps (online) Spoofing Vulnerability

CVE-2023-32024LOW3.0ten sam produkt

Microsoft Power Apps Spoofing Vulnerability