CRITICAL✓ PATCH🇬🇧 English

CVE-2026-42898

Code injection w Microsoft Dynamics 365 (on-premises) umożliwiający RCE

CVSS 9.9v3.1pub. 2026-05-12upd. 2026-05-14

Podatność typu code injection w Microsoft Dynamics 365 (on-premises) pozwala uwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć. Ocena CVSS 9.9 oraz zakres ataku obejmujący inne systemy (Scope: Changed) czynią tę podatność krytyczną.

Pokaż oryginał (EN)

Improper control of generation of code ('code injection') in Microsoft Dynamics 365 (on-premises) allows an authorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kontroli generowania kodu (CWE-94 — Improper Control of Generation of Code). Atakujący posiadający konto w systemie może przesłać specjalnie spreparowane dane przez sieć, które są następnie interpretowane i wykonywane jako kod przez aplikację. Wektor ataku sieciowy przy niskiej złożoności i bez wymaganych interakcji użytkownika znacznie obniża próg wykorzystania podatności. Zakres ataku wykracza poza komponent podatny, co oznacza możliwość wpływu na zasoby poza bezpośrednim środowiskiem Dynamics 365.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem poprzez zdalne wykonanie dowolnego kodu, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42898

Kogo dotyczy

Microsoft Dynamics 365 (on-premises) — konkretne wersje wskazane w referencjach producenta (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42898)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Dynamics 365

    APP
    Microsoft
    9.1.1.914 – 9.1.45.11 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-47647CRITICAL9.9ten sam produkt

Improper access control in Microsoft Dynamics 365 allows an authorized attacker to elevate privileges over a n...

CVE-2026-42833CRITICAL9.1PL ✓ten sam produkt

Code injection w Microsoft Dynamics 365 On-Premises — zdalne wykonanie kodu

CVE-2026-32210CRITICAL9.3PL ✓ten sam produkt

SSRF w Microsoft Dynamics 365 umożliwia spoofing sieciowy

CVE-2024-38182CRITICAL9.0PL ✓ten sam produkt

Słabe uwierzytelnianie w Microsoft Dynamics 365 umożliwia privilege escalation

CVE-2025-62210HIGH8.7ten sam produkt

Improper neutralization of input during web page generation ('cross-site scripting') in Dynamics 365 Field Ser...