Katalog CVE

CVE-2026-32208

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność typu Cross-Site Scripting (XSS) w Microsoft Entra ID umożliwia autoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu treści w sieci. Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych.

Ocena ryzyka

Autoryzowany atakujący może wykorzystać tę podatność do wyświetlania fałszywych treści użytkownikom, co może prowadzić do kradzieży danych uwierzytelniających lub rozprzestrzeniania złośliwego oprogramowania.

Rekomendacja

Należy niezwłocznie zastosować aktualizację bezpieczeństwa dostarczoną przez Microsoft dla Microsoft Entra ID. Dodatkowo warto wdrożyć mechanizmy filtrowania danych wejściowych oraz Content Security Policy (CSP).

Oryginalny opis (angielski, źródło NVD)

Improper neutralization of input during web page generation ('cross-site scripting') in Microsoft Entra ID allows an authorized attacker to perform spoofing over a network.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS