Podatność w Microsoft Authenticator umożliwia nieuwierzytelnionemu atakującemu ujawnienie wrażliwych informacji za pośrednictwem sieci. Wysoki wynik CVSS (9.6) oraz zakres wpływu obejmujący poufność, integralność i dostępność czynią ją krytycznym zagrożeniem.
▸ Pokaż oryginał (EN)
Exposure of sensitive information to an unauthorized actor in Microsoft Authenticator allows an unauthorized attacker to disclose information over a network.
Podatność sklasyfikowana jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na nieprawidłowym ujawnianiu poufnych danych przez aplikację Microsoft Authenticator. Atakujący nie potrzebuje żadnych uprawnień, lecz wymagana jest interakcja użytkownika (UI:R). Wektor sieciowy (AV:N) oraz brak wymagań co do złożoności ataku (AC:L) sprawiają, że exploit może być przeprowadzony zdalnie i bez zaawansowanej wiedzy technicznej. Zakres ataku wykracza poza komponent bazowy (S:C), co oznacza potencjalny wpływ na inne elementy systemu.
Atakujący może uzyskać dostęp do poufnych informacji przetwarzanych przez Microsoft Authenticator, a w konsekwencji naruszyć poufność, integralność oraz dostępność zasobów ofiary.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41615. Zaleca się niezwłoczną aktualizację aplikacji Microsoft Authenticator do najnowszej dostępnej wersji.
Microsoft Authenticator — wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41615)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HMicrosoft Authenticator
APPMicrosoft< 6.8.47< 6.2605.2973
Powiązane podatności
Microsoft Authenticator Elevation of Privilege Vulnerability
Cwe is not in rca categories in Microsoft Authenticator allows an unauthorized attacker to disclose informatio...
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server
RCE w Windows Server Update Service (WSUS) — deserializacja danych