CRITICAL✓ PATCH🇬🇧 English

CVE-2026-41104

Deserializacja niezaufanych danych w Microsoft Planetary Computer Pro

CVSS 10.0v3.1pub. 2026-05-22upd. 2026-05-29

Podatność klasy deserialization of untrusted data (CWE-502) w Microsoft Planetary Computer Pro umożliwia nieuwierzytelnionemu atakującemu ujawnienie informacji przez sieć. Krytyczny wynik CVSS 10.0 oraz brak wymagań co do uprawnień i interakcji użytkownika czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Deserialization of untrusted data in Microsoft Planetary Computer Pro allows an unauthorized attacker to disclose information over a network.

🤖 Analiza AI
Jak działa

Atakujący przesyła przez sieć specjalnie spreparowane dane, które aplikacja Microsoft Planetary Computer Pro deserializuje bez odpowiedniej weryfikacji ich pochodzenia i zawartości. Proces deserializacji niezaufanych danych może prowadzić do wykonania niezamierzonej logiki po stronie serwera. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani żadnej interakcji ze strony ofiary, a podatność wpływa na komponenty spoza bezpośredniego zakresu aplikacji (Scope: Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych lub przechowywanych przez Microsoft Planetary Computer Pro. Wysoki wpływ na poufność, integralność i dostępność wskazuje na możliwość poważnego naruszenia środowiska, w którym działa aplikacja.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły dotyczące wersji naprawionej dostępne są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41104

Kogo dotyczy

Microsoft Planetary Computer Pro — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Planetary Computer

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-53770CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserialization w Microsoft SharePoint Server (on-premises)