Podatność w Azure Entra ID powoduje ujawnienie wrażliwych informacji nieautoryzowanemu podmiotowi, co pozwala atakującemu na przeprowadzenie ataku spoofingowego przez sieć. Ocena CVSS 9.3 (CRITICAL) wskazuje na wysokie ryzyko naruszenia poufności i integralności danych.
▸ Pokaż oryginał (EN)
Exposure of sensitive information to an unauthorized actor in Azure Entra ID allows an unauthorized attacker to perform spoofing over a network.
Błąd sklasyfikowany jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na nieprawidłowym ujawnianiu wrażliwych informacji przez usługę Azure Entra ID. Atakujący nieposiadający żadnych uprawnień może zdalnie, przy minimalnej interakcji użytkownika, uzyskać dostęp do tych danych i wykorzystać je do podszywania się pod inny podmiot (spoofing). Wektor ataku sieciowy oraz brak wymaganych uprawnień po stronie atakującego sprawiają, że podatność jest łatwa do wykorzystania na szeroką skalę.
Atakujący może uzyskać dostęp do wrażliwych informacji z Azure Entra ID oraz przeprowadzić atak spoofingowy, potencjalnie podszywając się pod uprawnionego użytkownika lub system, co zagraża poufności i integralności środowiska tożsamości.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40379. Zaleca się bieżące monitorowanie Microsoft Security Response Center w celu śledzenia aktualizacji.
Azure Entra ID — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:NMicrosoft Entra Id
APPMicrosoftwszystkie wersje
Powiązane podatności
Obejście uwierzytelnienia w Microsoft Azure Active Directory B2C
Błąd walidacji źródła w Microsoft Entra ID umożliwia privilege escalation
SSRF w Microsoft Entra ID Entitlement Management umożliwia spoofing
Microsoft Entra ID — Elevation of Privilege (nieautoryzowane podwyższenie uprawnień)
Eskalacja uprawnień w Microsoft Azure Entra ID (CVE-2025-59246)