Podatność typu code injection w Microsoft Dynamics 365 (on-premises) umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu przez sieć. Pomimo wymogu posiadania uprawnień administratora, podatność uzyskała ocenę CRITICAL ze względu na potencjalne skutki obejmujące pełne przejęcie systemu.
▸ Pokaż oryginał (EN)
Improper control of generation of code ('code injection') in Microsoft Dynamics 365 (on-premises) allows an authorized attacker to execute code over a network.
Błąd polega na nieprawidłowej kontroli generowania kodu (CWE-250 — wykonanie z nadmiernymi uprawnieniami) w komponencie Microsoft Dynamics 365 w wersji on-premises. Atakujący posiadający uprawnienia w systemie może dostarczyć specjalnie spreparowane dane wejściowe, które zostają zinterpretowane i wykonane jako kod po stronie serwera. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika, a zakres ataku wykracza poza sam komponent (Scope: Changed), co wskazuje na możliwość wpływu na inne zasoby systemu.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na wykonanie dowolnego kodu na serwerze, prowadząc do pełnej kompromitacji poufności, integralności i dostępności systemu oraz potencjalnie do przejęcia kontroli nad innymi powiązanymi zasobami infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42833
Microsoft Dynamics 365 w wersji on-premises — konkretne wersje wskazane w referencjach producenta (MSRC)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HMicrosoft Dynamics 365
APPMicrosoft9.1 – 9.1.45.11 (bez)
Powiązane podatności
Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a n...
Code injection w Microsoft Dynamics 365 (on-premises) umożliwiający RCE
SSRF w Microsoft Dynamics 365 umożliwia spoofing sieciowy
Słabe uwierzytelnianie w Microsoft Dynamics 365 umożliwia privilege escalation
Improper neutralization of input during web page generation ('cross-site scripting') in Dynamics 365 Field Ser...