CRITICAL✓ PATCH🇬🇧 English

CVE-2026-42822

Pominięcie uwierzytelnienia w Azure Local Disconnected Operations — eskalacja uprawnień

CVSS 10.0v3.1pub. 2026-05-18upd. 2026-05-21

Podatność w mechanizmie uwierzytelnienia komponentu Azure Local Disconnected Operations umożliwia nieuwierzytelnionemu atakującemu zdalne podwyższenie uprawnień. Ocena CVSS 10.0 (CRITICAL) oznacza maksymalne ryzyko — exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Improper authentication in Azure Local Disconnected Operations allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd klasyfikowany jako CWE-287 (Improper Authentication) polega na nieprawidłowej weryfikacji tożsamości w trybie odłączonego działania (Disconnected Operations) platformy Azure Local. Atakujący dostępny sieciowo może ominąć mechanizmy uwierzytelnienia i uzyskać podwyższone uprawnienia w środowisku docelowym. Wektor sieciowy (AV:N), brak wymagań co do złożoności ataku (AC:L) oraz brak konieczności posiadania jakichkolwiek uprawnień wyjściowych (PR:N) czynią podatność trywialną do wykorzystania w odpowiednio narażonej sieci.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie docelowym bez wcześniejszego uwierzytelnienia, co przy pełnym zakresie wpływu na poufność, integralność i dostępność (C:H/I:H/A:H) może oznaczać całkowite przejęcie kontroli nad zasobami zarządzanymi przez Azure Local lub Azure Resource Manager.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822. Do czasu wdrożenia łatki należy rozważyć ograniczenie dostępu sieciowego do komponentów Azure Local Disconnected Operations wyłącznie do zaufanych hostów oraz zastosowanie segmentacji sieci.

Kogo dotyczy

Microsoft Azure Local (tryb Disconnected Operations) oraz Microsoft Azure Resource Manager — konkretne wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Local

    APP
    Microsoft
    < 2604.2.25645
  • Microsoft Azure Resource Manager

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-47280CRITICAL10.0PL ✓ten sam produkt

Obejście uwierzytelniania w Azure Resource Manager umożliwia eskalację uprawnień

CVE-2026-24304CRITICAL9.9PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Azure Resource Manager — privilege escalation

CVE-2026-21228HIGH8.1ten sam produkt

Improper certificate validation in Azure Local allows an unauthorized attacker to execute code over a network.

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server