Podatność w mechanizmie uwierzytelnienia komponentu Azure Local Disconnected Operations umożliwia nieuwierzytelnionemu atakującemu zdalne podwyższenie uprawnień. Ocena CVSS 10.0 (CRITICAL) oznacza maksymalne ryzyko — exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper authentication in Azure Local Disconnected Operations allows an unauthorized attacker to elevate privileges over a network.
Błąd klasyfikowany jako CWE-287 (Improper Authentication) polega na nieprawidłowej weryfikacji tożsamości w trybie odłączonego działania (Disconnected Operations) platformy Azure Local. Atakujący dostępny sieciowo może ominąć mechanizmy uwierzytelnienia i uzyskać podwyższone uprawnienia w środowisku docelowym. Wektor sieciowy (AV:N), brak wymagań co do złożoności ataku (AC:L) oraz brak konieczności posiadania jakichkolwiek uprawnień wyjściowych (PR:N) czynią podatność trywialną do wykorzystania w odpowiednio narażonej sieci.
Atakujący może uzyskać podwyższone uprawnienia w systemie docelowym bez wcześniejszego uwierzytelnienia, co przy pełnym zakresie wpływu na poufność, integralność i dostępność (C:H/I:H/A:H) może oznaczać całkowite przejęcie kontroli nad zasobami zarządzanymi przez Azure Local lub Azure Resource Manager.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822. Do czasu wdrożenia łatki należy rozważyć ograniczenie dostępu sieciowego do komponentów Azure Local Disconnected Operations wyłącznie do zaufanych hostów oraz zastosowanie segmentacji sieci.
Microsoft Azure Local (tryb Disconnected Operations) oraz Microsoft Azure Resource Manager — konkretne wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Local
APPMicrosoft< 2604.2.25645Microsoft Azure Resource Manager
APPMicrosoftwszystkie wersje
Powiązane podatności
Obejście uwierzytelniania w Azure Resource Manager umożliwia eskalację uprawnień
Nieprawidłowa kontrola dostępu w Azure Resource Manager — privilege escalation
Improper certificate validation in Azure Local allows an unauthorized attacker to execute code over a network.
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server