Podatność typu Server-Side Request Forgery (SSRF) w module Entitlement Management usługi Microsoft Entra ID pozwala nieuwierzytelnionemu atakującemu na wykonywanie sfałszowanych żądań sieciowych. Oceniona jako krytyczna z maksymalnym wynikiem CVSS 10.0, stanowi poważne zagrożenie dla organizacji korzystających z tej usługi.
▸ Pokaż oryginał (EN)
Server-side request forgery (ssrf) in Microsoft Entra ID Entitlement Management allows an unauthorized attacker to perform spoofing over a network.
Atakujący bez żadnego uwierzytelnienia, działając zdalnie przez sieć, może skłonić serwer do wysyłania żądań HTTP w jego imieniu do dowolnych zasobów sieciowych — zarówno wewnętrznych, jak i zewnętrznych. Mechanizm SSRF w Microsoft Entra ID Entitlement Management nie wymaga interakcji użytkownika ani żadnych uprawnień, co oznacza pełną ekspozycję na atak z zewnątrz. Podatność ma zmieniony zakres (Scope: Changed), co wskazuje, że skutki mogą wykraczać poza bezpośrednio atakowany komponent.
Atakujący może przeprowadzić spoofing tożsamości lub żądań sieciowych, potencjalnie uzyskując dostęp do wewnętrznych zasobów infrastruktury, danych konfiguracyjnych lub innych usług niedostępnych bezpośrednio z zewnątrz. Pełne oceny CVSS wskazują na możliwość naruszenia poufności, integralności i dostępności w wysokim stopniu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35431. Ponieważ usługa jest zarządzana przez Microsoft (cloud), aktualizacje mogą być wdrażane automatycznie po stronie dostawcy — zaleca się weryfikację statusu poprawki w Microsoft Security Response Center.
Microsoft Entra ID (moduł Entitlement Management) — konkretne wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Entra Id
APPMicrosoftwszystkie wersje
Powiązane podatności
Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C
Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation
Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing
Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)
Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)