CRITICAL✓ PATCH🇬🇧 English

CVE-2026-40379

Ujawnienie wrażliwych danych w Azure Entra ID umożliwiające spoofing

CVSS 9.3v3.1pub. 2026-05-12upd. 2026-05-21

Podatność w Azure Entra ID powoduje ujawnienie wrażliwych informacji nieautoryzowanemu podmiotowi, co pozwala atakującemu na przeprowadzenie ataku spoofingowego przez sieć. Ocena CVSS 9.3 (CRITICAL) wskazuje na wysokie ryzyko naruszenia poufności i integralności danych.

Pokaż oryginał (EN)

Exposure of sensitive information to an unauthorized actor in Azure Entra ID allows an unauthorized attacker to perform spoofing over a network.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na nieprawidłowym ujawnianiu wrażliwych informacji przez usługę Azure Entra ID. Atakujący nieposiadający żadnych uprawnień może zdalnie, przy minimalnej interakcji użytkownika, uzyskać dostęp do tych danych i wykorzystać je do podszywania się pod inny podmiot (spoofing). Wektor ataku sieciowy oraz brak wymaganych uprawnień po stronie atakującego sprawiają, że podatność jest łatwa do wykorzystania na szeroką skalę.

Skutki

Atakujący może uzyskać dostęp do wrażliwych informacji z Azure Entra ID oraz przeprowadzić atak spoofingowy, potencjalnie podszywając się pod uprawnionego użytkownika lub system, co zagraża poufności i integralności środowiska tożsamości.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40379. Zaleca się bieżące monitorowanie Microsoft Security Response Center w celu śledzenia aktualizacji.

Kogo dotyczy

Azure Entra ID — wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Microsoft Entra Id

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-33843CRITICAL9.1PL ✓ten sam produkt

Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C

CVE-2026-42901CRITICAL10.0PL ✓ten sam produkt

Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation

CVE-2026-35431CRITICAL10.0PL ✓ten sam produkt

SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing

CVE-2026-24305CRITICAL9.3PL ✓ten sam produkt

Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)

CVE-2025-59246CRITICAL9.8PL ✓ten sam produkt

Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)