-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Microsoft Azure Advisory ID : NCSC-2026-0082 Versie : 1.00 Kans : medium CVE ID : CVE-2026-23651, CVE-2026-23660, CVE-2026-23661, CVE-2026-23662, CVE-2026-23664, CVE-2026-23665, CVE-2026-26117, CVE-2026-26118, CVE-2026-26121, CVE-2026-26122, CVE-2026-26124, CVE-2026-26141, CVE-2026-26148 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation Path Traversal: '.../...//' Heap-based Buffer Overflow Improper Access Control Improper Authentication Authentication Bypass Using an Alternate Path or Channel Missing Authentication for Critical Function Cleartext Transmission of Sensitive Information Permissive Regular Expression Server-Side Request Forgery (SSRF) Improper Restriction of Communication Channel to Intended Endpoints Initialization of a Resource with an Insecure Default External Initialization of Trusted Variables or Data Stores Uitgiftedatum : 20260310 Toepassing : Microsoft Arc Enabled Servers - Azure Connected Machine Agent Microsoft Azure Microsoft Azure Automation Hybrid Worker Windows Extension Microsoft Azure IoT Explorer Microsoft Azure Linux Virtual Machines with Azure Diagnostics extension Microsoft Azure MCP Server Tools Microsoft Microsoft ACI Confidential Containers Microsoft Microsoft Azure AD SSH Login extension for Linux Microsoft Microsoft Azure Container Instances Confidential Containers Microsoft Windows Admin Center in Azure Portal Versie(s) : Platform(s) : Beschrijving Microsoft heeft kwetbaarheden verholpen in diverse Azure componenten. Een kwadwillende kan de kwetsbaarheden misbruiken om zich voor te doen als andere gebruiker, zich verhoogde rechten toe te kennen of toegang te krijgen tot gevoelige gegevens. ``` Azure Entra ID: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-26148 | 8.10 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure IoT Explorer: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-23664 | 7.50 | Toegang tot gevoelige gegevens | | CVE-2026-26121 | 7.50 | Voordoen als andere gebruiker | | CVE-2026-23661 | 7.50 | Toegang tot gevoelige gegevens | | CVE-2026-23662 | 7.50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Azure Portal Windows Admin Center: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-23660 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Compute Gallery: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-23651 | 6.70 | Verkrijgen van verhoogde rechten | | CVE-2026-26124 | 6.70 | Verkrijgen van verhoogde rechten | | CVE-2026-26122 | 6.50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Azure MCP Server: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-26118 | 8.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Linux Virtual Machines: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-23665 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Windows Virtual Machine Agent: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-26117 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Arc: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-26141 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| ``` Mogelijke oplossingen Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds vindt u op: https://portal.msrc.microsoft.com/en-us/security-guidance Referenties: Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmmwfCsACgkQgupWoL0Z hGFP/gwAsobgtfaNBwvYH3lU+5qc1iXbuiSumFtp5GmuJ4KuDseJcrEEpKeMLWJw yQ64yzNVpbTApJWbM2PvVjBfqDEELt/HvfKBl5mWS3UUDB7pZ8/XTxkgoKlFb5z3 M7FCNC5w8BD1ERu2HRrVLiTi1aGz7G4Or2nuX7eOk1n9jCVtm3Yy7nGCdTf768N2 5bv2OgPpwiBU+BgglNcwo5zGPN43YB6bhTo5lI2WupBaB4YUqPQ+NVH6KzlWBWr/ mbmlF2s+QeuE/aI8yhGjsHyQG3NGvg8j1Udd7ic0bo4bzhW2dAQJ6rnsRkMFqbJm txHUO+DEMM53MQtJpwGM/iBK4X+DmepQLkDlBRn9VGiea81zuoH5kV+7S2K5bYGh 4vjIgo3QETv8Hp1md9OX7Us1z/kvLeHuDoIqNXBZWMwIBHuSXWAs1+jjff1uf9Q2 BnWx+0EavpK31wAWnCPvGNb5RI7t3oBDsVhD7fhGf2yLaeIAqrvSB9yTtNQvWIL3 Xzz/Bc/7 =D4Rw -----END PGP SIGNATURE-----