Podatność typu Server-Side Request Forgery (SSRF) w usłudze Microsoft Bing pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Krytyczny wynik CVSS 10.0 oraz brak wymagań dotyczących interakcji użytkownika i uwierzytelnienia czynią tę lukę wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to elevate privileges over a network.
Podatność klasy SSRF (CWE-918) polega na tym, że serwer aplikacji wykonuje żądania sieciowe na podstawie danych dostarczonych przez atakującego, bez odpowiedniej walidacji. Nieautoryzowany atakujący może manipulować żądaniami wysyłanymi przez serwer Microsoft Bing, kierując je do wewnętrznych zasobów lub innych systemów. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a zakres naruszenia wychodzi poza bezpośrednio atakowany komponent (S:C w wektorze CVSS).
Atakujący może uzyskać nieautoryzowaną eskalację uprawnień, co w połączeniu z maksymalnym wpływem na poufność, integralność i dostępność (C:H/I:H/A:H) może prowadzić do przejęcia kontroli nad zasobami usługi lub uzyskania dostępu do wewnętrznej infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32186
Microsoft Bing — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Bing
APPMicrosoftwszystkie wersje
Powiązane podatności
Zdalna deserializacja danych w Microsoft Bing umożliwia RCE
Missing Authentication for Critical Function in Microsoft Bing allows an unauthorized attacker to execute code...
User interface (ui) misrepresentation of critical information in Microsoft Bing allows an unauthorized attacke...
Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to perform tampering over...
Microsoft Bing Search Spoofing Vulnerability