CRITICAL✓ PATCH🇬🇧 English

CVE-2026-42833

Code injection w Microsoft Dynamics 365 On-Premises — zdalne wykonanie kodu

CVSS 9.1v3.1pub. 2026-05-12upd. 2026-06-01

Podatność typu code injection w Microsoft Dynamics 365 (on-premises) umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu przez sieć. Pomimo wymogu posiadania uprawnień administratora, podatność uzyskała ocenę CRITICAL ze względu na potencjalne skutki obejmujące pełne przejęcie systemu.

Pokaż oryginał (EN)

Improper control of generation of code ('code injection') in Microsoft Dynamics 365 (on-premises) allows an authorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kontroli generowania kodu (CWE-250 — wykonanie z nadmiernymi uprawnieniami) w komponencie Microsoft Dynamics 365 w wersji on-premises. Atakujący posiadający uprawnienia w systemie może dostarczyć specjalnie spreparowane dane wejściowe, które zostają zinterpretowane i wykonane jako kod po stronie serwera. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika, a zakres ataku wykracza poza sam komponent (Scope: Changed), co wskazuje na możliwość wpływu na inne zasoby systemu.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na wykonanie dowolnego kodu na serwerze, prowadząc do pełnej kompromitacji poufności, integralności i dostępności systemu oraz potencjalnie do przejęcia kontroli nad innymi powiązanymi zasobami infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42833

Kogo dotyczy

Microsoft Dynamics 365 w wersji on-premises — konkretne wersje wskazane w referencjach producenta (MSRC)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Dynamics 365

    APP
    Microsoft
    9.1 – 9.1.45.11 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-47647CRITICAL9.9ten sam produkt

Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a n...

CVE-2026-42898CRITICAL9.9PL ✓ten sam produkt

Code injection w Microsoft Dynamics 365 (on-premises) umożliwiający RCE

CVE-2026-32210CRITICAL9.3PL ✓ten sam produkt

SSRF w Microsoft Dynamics 365 umożliwia spoofing sieciowy

CVE-2024-38182CRITICAL9.0PL ✓ten sam produkt

Słabe uwierzytelnianie w Microsoft Dynamics 365 umożliwia privilege escalation

CVE-2025-62210HIGH8.7ten sam produkt

Improper neutralization of input during web page generation ('cross-site scripting') in Dynamics 365 Field Ser...