CRITICAL✓ PATCH🇬🇧 English

CVE-2026-47280

Obejście uwierzytelniania w Azure Resource Manager umożliwia eskalację uprawnień

CVSS 10.0v3.1pub. 2026-05-22upd. 2026-05-27

Podatność w Azure Resource Manager (ARM) pozwala nieuwierzytelnionemu atakującemu na eskalację uprawnień przez sieć bez żadnej interakcji użytkownika. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją jednym z najpoważniejszych zagrożeń dla środowisk Azure.

Pokaż oryginał (EN)

Improper authentication in Azure Resource Manager (ARM) allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmu uwierzytelniania (CWE-287) w Azure Resource Manager. Atakujący może wysłać specjalnie przygotowane żądania sieciowe do ARM bez posiadania prawidłowych poświadczeń, a usługa błędnie traktuje takie żądania jako autoryzowane. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień wstępnych (PR:N) ani interakcji po stronie użytkownika (UI:N), a zakres ataku wykracza poza bezpośrednio podatny komponent (S:C).

Skutki

Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w środowisku Azure, potencjalnie przejmując kontrolę nad zasobami chmurowymi, odczytując poufne dane, modyfikując konfiguracje infrastruktury lub powodując jej niedostępność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o aktualizacji dostępne pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47280. Jako środek doraźny zaleca się ograniczenie dostępu sieciowego do ARM oraz monitorowanie logów pod kątem nieautoryzowanych wywołań API.

Kogo dotyczy

Azure Resource Manager (ARM) — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Resource Manager

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-42822CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Azure Local Disconnected Operations — eskalacja uprawnień

CVE-2026-24304CRITICAL9.9PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Azure Resource Manager — privilege escalation

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2026-20963CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE przez deserializację niezaufanych danych w Microsoft SharePoint Server

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam vendor

RCE w Windows Server Update Service (WSUS) — deserializacja danych