CRITICAL✓ PATCH🇬🇧 English

CVE-2026-32186

SSRF w Microsoft Bing umożliwia eskalację uprawnień przez sieć

CVSS 10.0v3.1pub. 2026-04-03upd. 2026-04-13

Podatność typu Server-Side Request Forgery (SSRF) w usłudze Microsoft Bing pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Krytyczny wynik CVSS 10.0 oraz brak wymagań dotyczących interakcji użytkownika i uwierzytelnienia czynią tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Podatność klasy SSRF (CWE-918) polega na tym, że serwer aplikacji wykonuje żądania sieciowe na podstawie danych dostarczonych przez atakującego, bez odpowiedniej walidacji. Nieautoryzowany atakujący może manipulować żądaniami wysyłanymi przez serwer Microsoft Bing, kierując je do wewnętrznych zasobów lub innych systemów. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a zakres naruszenia wychodzi poza bezpośrednio atakowany komponent (S:C w wektorze CVSS).

Skutki

Atakujący może uzyskać nieautoryzowaną eskalację uprawnień, co w połączeniu z maksymalnym wpływem na poufność, integralność i dostępność (C:H/I:H/A:H) może prowadzić do przejęcia kontroli nad zasobami usługi lub uzyskania dostępu do wewnętrznej infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32186

Kogo dotyczy

Microsoft Bing — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Bing

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-33819CRITICAL10.0PL ✓ten sam produkt

Zdalna deserializacja danych w Microsoft Bing umożliwia RCE

CVE-2025-21355HIGH8.6ten sam produkt

Missing Authentication for Critical Function in Microsoft Bing allows an unauthorized attacker to execute code...

CVE-2026-45650MEDIUM4.3ten sam produkt

User interface (ui) misrepresentation of critical information in Microsoft Bing allows an unauthorized attacke...

CVE-2026-26120MEDIUM6.5ten sam produkt

Server-side request forgery (ssrf) in Microsoft Bing allows an unauthorized attacker to perform tampering over...

CVE-2021-33753MEDIUM4.7ten sam produkt

Microsoft Bing Search Spoofing Vulnerability

CVE-2026-32186 — SSRF w Microsoft Bing umożliwia eskalację uprawnień przez sieć — CRITICAL 10.0 | CVEbaza.pl