CRITICAL✓ PATCH🇬🇧 English

CVE-2026-33843

Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C

CVSS 9.1v3.1pub. 2026-05-22upd. 2026-05-27

Podatność w Microsoft Azure Active Directory B2C umożliwia nieuwierzytelnionemu atakującemu obejście mechanizmów uwierzytelnienia poprzez alternatywną ścieżkę lub kanał komunikacji. Ze względu na brak wymagań dotyczących uprawnień i interakcji użytkownika, podatność stanowi poważne zagrożenie dla tożsamości i kontroli dostępu.

Pokaż oryginał (EN)

Authentication bypass using an alternate path or channel in Microsoft Azure Active Directory B2C allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na tym, że atakujący może uzyskać dostęp do zasobu lub funkcjonalności systemu, omijając standardowy mechanizm uwierzytelnienia poprzez alternatywną ścieżkę lub kanał. Atak może być przeprowadzony zdalnie przez sieć bez konieczności posiadania jakichkolwiek wcześniejszych uprawnień ani angażowania ofiary. Wykorzystanie podatności pozwala atakującemu na eskalację uprawnień w środowisku Azure Active Directory B2C.

Skutki

Nieautoryzowany atakujący może uzyskać podwyższone uprawnienia w środowisku Azure Active Directory B2C, co może skutkować nieuprawnionym dostępem do chronionych zasobów oraz naruszeniem poufności i integralności danych (wysoki wpływ na C i I według wektora CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o dostępnych poprawkach znajdują się w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33843

Kogo dotyczy

Microsoft Azure Active Directory B2C — wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33843)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Microsoft Entra Id

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-42901CRITICAL10.0PL ✓ten sam produkt

Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation

CVE-2026-40379CRITICAL9.3PL ✓ten sam produkt

Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing

CVE-2026-35431CRITICAL10.0PL ✓ten sam produkt

SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing

CVE-2026-24305CRITICAL9.3PL ✓ten sam produkt

Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)

CVE-2025-59246CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)