Podatność klasy deserialization of untrusted data (CWE-502) w Microsoft Planetary Computer Pro umożliwia nieuwierzytelnionemu atakującemu ujawnienie informacji przez sieć. Krytyczny wynik CVSS 10.0 oraz brak wymagań co do uprawnień i interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Deserialization of untrusted data in Microsoft Planetary Computer Pro allows an unauthorized attacker to disclose information over a network.
Atakujący przesyła przez sieć specjalnie spreparowane dane, które aplikacja Microsoft Planetary Computer Pro deserializuje bez odpowiedniej weryfikacji ich pochodzenia i zawartości. Proces deserializacji niezaufanych danych może prowadzić do wykonania niezamierzonej logiki po stronie serwera. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani żadnej interakcji ze strony ofiary, a podatność wpływa na komponenty spoza bezpośredniego zakresu aplikacji (Scope: Changed).
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych lub przechowywanych przez Microsoft Planetary Computer Pro. Wysoki wpływ na poufność, integralność i dostępność wskazuje na możliwość poważnego naruszenia środowiska, w którym działa aplikacja.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące wersji naprawionej dostępne są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41104
Microsoft Planetary Computer Pro — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Planetary Computer
APPMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
RCE przez deserialization w Microsoft SharePoint Server (on-premises)