Podatność w Azure Stack Edge umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) przez sieć. Krytyczny poziom CVSS 9.8 oznacza możliwość pełnego przejęcia kontroli nad urządzeniem bez jakiejkolwiek autoryzacji.
▸ Pokaż oryginał (EN)
External control of file name or path in Azure Stack Edge allows an unauthorized attacker to execute code over a network.
Podatność sklasyfikowana jako CWE-73 (External Control of File Name or Path) polega na tym, że atakujący może z zewnątrz sterować nazwą lub ścieżką pliku używaną przez aplikację. Poprzez sieć, bez uwierzytelnienia i bez interakcji użytkownika, możliwe jest przekazanie spreparowanych danych wejściowych wskazujących na kontrolowany przez atakującego plik lub ścieżkę. Prowadzi to do wykonania kodu po stronie podatnego systemu Azure Stack Edge.
Atakujący bez uwierzytelnienia może zdalnie wykonać dowolny kod na urządzeniu Azure Stack Edge, co może skutkować pełnym naruszeniem poufności, integralności oraz dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47643
Microsoft Azure Stack Edge — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H