Podatność w Microsoft Azure AI Foundry polega na nieprawidłowej autoryzacji (CWE-285, CWE-863), która pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć. Ocena CVSS 10.0 wskazuje na maksymalny poziom krytyczności — exploit jest możliwy bez żadnych uprawnień i bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper authorization in Azure AI Foundry allows an unauthorized attacker to elevate privileges over a network.
Błąd wynika z nieprawidłowej implementacji kontroli dostępu w usłudze Azure AI Foundry. Atakujący działający zdalnie, bez konieczności posiadania konta ani uprawnień, może wysłać odpowiednio spreparowane żądanie sieciowe, które obejdzie mechanizmy autoryzacji. W efekcie atakujący uzyskuje wyższy poziom dostępu niż mu przysługuje, co w kontekście środowiska chmurowego (zakres Scope: Changed) oznacza potencjalne przekroczenie granic izolacji między zasobami.
Nieautoryzowany atakujący może uzyskać podwyższone uprawnienia w środowisku Azure AI Foundry, co zgodnie z wektorem CVSS prowadzi do pełnego naruszenia poufności, integralności i dostępności zasobów. Może to obejmować dostęp do cudzych danych, modyfikację zasobów lub zakłócenie działania usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32213. W przypadku usług zarządzanych przez Microsoft (SaaS/PaaS) aktualizacja może zostać wdrożona automatycznie po stronie dostawcy — zaleca się weryfikację statusu w Microsoft Security Response Center.
Microsoft Azure AI Foundry — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Ai Foundry
APPMicrosoftwszystkie wersje
Powiązane podatności
Improper access control in Azure AI Foundry M365 published agents allows an unauthorized attacker to elevate p...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty