-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Microsoft Azure Advisory ID : NCSC-2026-0142 Versie : 1.00 Kans : medium CVE ID : CVE-2026-32204, CVE-2026-32207, CVE-2026-33109, CVE-2026-33117, CVE-2026-33833, CVE-2026-33844, CVE-2026-34327, CVE-2026-35428, CVE-2026-35435, CVE-2026-40379, CVE-2026-40381, CVE-2026-41086, CVE-2026-41103, CVE-2026-41105, CVE-2026-42823, CVE-2026-42830 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Input Validation External Control of File Name or Path Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') Improper Neutralization of Special Elements used in a Command ('Command Injection') Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Exposure of Sensitive Information to an Unauthorized Actor Improper Access Control Improper Authentication Incorrect Implementation of Authentication Algorithm Improper Verification of Cryptographic Signature Untrusted Search Path Externally Controlled Reference to a Resource in Another Sphere Server-Side Request Forgery (SSRF) Uitgiftedatum : 20260512 Toepassing : Microsoft Azure Microsoft Azure AI Foundry Microsoft Azure Cloud Shell Microsoft Azure Connected Machine Agent Microsoft Azure Logic Apps Microsoft Azure Machine Learning Microsoft Azure Managed Instance for Apache Cassandra Microsoft Azure Monitor Action Group notification system Microsoft Azure Monitor Agent Microsoft Azure Monitor Agent Metrics Extension Microsoft Azure SDK for Java Microsoft Microsoft Confluence SAML SSO plugin Microsoft Microsoft Enterprise Security Token Service (ESTS) Microsoft Microsoft JIRA SAML SSO plugin Microsoft Microsoft Partner Center Microsoft Windows Admin Center in Azure Portal Versie(s) : Platform(s) : Beschrijving Microsoft heeft kwetsbaarheden verholpen in diverse Azure componenten. Een kwaadwillende kan de kwetsbaarheden misbruiken om zich voor te doen als andere gebruiker, zich verhoogde rechten toe te kennen, willekeurige code uit te voeren en mogelijk daarmee toegang te krijgen tot gevoelige gegevens. De kwetsbaarheden met kenmerk CVE-2026-40379, CVE-2026-32207, CVE-2026-33109, CVE-2026-33844, CVE-2026-34327, CVE-2026-35428, CVE-2026-35435 en CVE-2026-41105 zijn reeds centraal verholpen door Microsoft en slechts opgenomen ter informatie. Voor deze kwetsbaarheden zijn geen acties benodigd. ``` Azure Machine Learning: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-32207 | 8.80 | Voordoen als andere gebruiker | | CVE-2026-33833 | 8.20 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Azure Monitor Agent: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-32204 | 7.80 | Verkrijgen van verhoogde rechten | | CVE-2026-42830 | 6.50 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Microsoft Partner Center: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-34327 | 8.20 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Azure Connected Machine Agent: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40381 | 7.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure SDK: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-33117 | 9.10 | Omzeilen van beveiligingsmaatregel | |----------------|------|-------------------------------------| Microsoft SSO Plugin for Jira & Confluence: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-41103 | 9.10 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Notification Service: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-41105 | 8.10 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Logic Apps: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-42823 | 9.90 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Entra ID: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-40379 | 9.30 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Windows Admin Center: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-41086 | 8.80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure AI Foundry M365 published agents: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-35435 | 8.60 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Azure Cloud Shell: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-35428 | 9.60 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Azure Managed Instance for Apache Cassandra: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2026-33109 | 9.90 | Uitvoeren van willekeurige code | | CVE-2026-33844 | 9.00 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| ``` Mogelijke oplossingen Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds vindt u op: https://portal.msrc.microsoft.com/en-us/security-guidance Referenties: Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoEF4kACgkQgupWoL0Z hGG7mAv/aDA13nCYVHiRRU3LRj81Vj2+AHf/4z0pqwqRRd17hNyTBGvSkjvEkfhr NvJ7J+3Hvm3rPZ8l02NxLjGIBIAPC99hyeAicSUyN0A//c7etukvcbJpqb9mChPz XlalDFlBa/e8Qxtd9fG6o+ls3IKXC8UVcERHYNVXDTPj+fyXfZWdJjheqp5jUBLe iv0iIcjAek6pLHnejm/gQShQvVNbiW8cqDJiU9S9iQ9/HhwDwKwWFjkKLN7vUsvC KiP0/R57ep+ZT1ELjac3ILVfjO2NX6FGLI2ox3p4WL0injc9rgFsHwxa4qfDtZrB rnvfsUIy5qqcvdll6qIanjZxNQBBxJzx50FHrsjEPlj4QgFl/hmJnhxcJwUjn68s 57t9WDE6P4GOaih0w4XkbleG15pMPmE6WaXQcjvzMCYCccdoxIvC2H28VrdOlPuY TF3NyX38DepM2DueQ4TZEk14GNO2VEPJQuyQ/kVyO2YHD0JLqApwZkBfmObNeZtW WZvYOXAG =Oth6 -----END PGP SIGNATURE-----