[TLP:CLEAR] Microsoft opravuje viac než 600 zraniteľností v rámci Patch Tuesday
Microsoft v rámci júlového „Patch Tuesday“ vydal opravy pre viac než 600 zraniteľností, z toho 2 aktívne zneužívané. Najzávažnejšie z nich sú popísané nižšie, zvyšné vrátane dostupných opráv sú uvedené na [1][2].
Neautentizovanému vzdialenému útočníkovi je v dôsledku chýbajúcej autentifikácie kritickej funkcie v produkte Microsoft SharePoint Server umožnené eskalovať svoje oprávnenia. Táto zraniteľnosť je už aktívne zneužívaná [3].
Zraniteľnosť sa nachádza v produktoch:
- Microsoft SharePoint Enterprise Server 2016 vo verziách >=16.0.0 AND <16.0.5561.1001
- Microsoft SharePoint Server 2019 vo verziách >=16.0.0 AND <16.0.10417.20175
- Microsoft SharePoint Server Subscription Edition vo verziách >=16.0.0 AND <16.0.19725.20434
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:F/RL:O/RC:C
Viac informácií:
- CVE-2026-56164 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 7. 2026.
Autentizovanému lokálnemu útočníkovi je v dôsledku nedostatočnej úrovne riadenia prístupu v službe Active Directory Federation Services (AD FS) v systémoch Windows a Windows Server umožnené eskalovať svoje oprávnenia. Táto zraniteľnosť je už aktívne zneužívaná [4].
Zraniteľnosť sa nachádza v produktoch:
- Windows 10 Version 1607 vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows 10 Version 1809 vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows Server 2012 vo verziách >=6.2.9200.0 AND <6.2.9200.26226
- Windows Server 2012 (Server Core) vo verziách >=6.2.9200.0 AND <6.2.9200.26226
- Windows Server 2012 R2 vo verziách >=6.3.9600.0 AND <6.3.9600.23291
- Windows Server 2012 R2 (Server Core) vo verziách >=6.3.9600.0 AND <6.3.9600.23291
- Windows Server 2016 vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows Server 2016 (Server Core) vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows Server 2019 vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows Server 2019 (Server Core) vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows Server 2022 vo verziách >=10.0.20348.0 AND <10.0.20348.5386
- Windows Server 2025 vo verziách >=10.0.26100.0 AND <10.0.26100.33158
- Windows Server 2025 (Server Core) vo verziách >=10.0.26100.0 AND <10.0.26100.33158
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Viac informácií:
- CVE-2026-56155 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1220: Insufficient Granularity of Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 7. 2026.
Autentizovanému vzdialenému útočníkovi s nízkymi oprávneniami je v dôsledku použitia už uvoľnenej pamäte v komponente Windows VMSwitch umožnené eskalovať svoje oprávnenia [5].
Zraniteľnosť sa nachádza v produktoch:
- Windows 10 Version 1607 vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows 10 Version 1809 vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows 10 Version 21H2 vo verziách >=10.0.19044.0 AND <10.0.19044.7548
- Windows 10 Version 22H2 vo verziách >=10.0.19045.0 AND <10.0.19045.7548
- Windows 11 Version 24H2 vo verziách >=10.0.26100.0 AND <10.0.26100.8875
- Windows 11 Version 25H2 vo verziách >=10.0.26200.0 AND <10.0.26100.8875
- Windows 11 Version 26H1 vo verziách >=10.0.28000.0 AND <10.0.28000.2525
- Windows Server 2012 vo verziách >=6.2.9200.0 AND <6.2.9200.26226
- Windows Server 2012 (Server Core) vo verziách >=6.2.9200.0 AND <6.2.9200.26226
- Windows Server 2012 R2 vo verziách >=6.3.9600.0 AND <6.3.9600.23291
- Windows Server 2012 R2 (Server Core) vo verziách >=6.3.9600.0 AND <6.3.9600.23291
- Windows Server 2016 vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows Server 2016 (Server Core) vo verziách >=10.0.14393.0 AND <10.0.14393.9339
- Windows Server 2019 vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows Server 2019 (Server Core) vo verziách >=10.0.17763.0 AND <10.0.17763.9020
- Windows Server 2022 vo verziách >=10.0.20348.0 AND <10.0.20348.5386
- Windows Server 2025 vo verziách >=10.0.26100.0 AND <10.0.26100.33158
- Windows Server 2025 (Server Core) vo verziách >=10.0.26100.0 AND <10.0.26100.33158
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Viac informácií:
- CVE-2026-57092 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 7. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku slabej autentifikácie v produkte Microsoft SharePoint Server umožnené obísť bezpečnostný mechanizmus [6].
Zraniteľnosť sa nachádza v produktoch:
- Microsoft SharePoint Enterprise Server 2016 vo verziách >=16.0.0 AND <16.0.5561.1001
- Microsoft SharePoint Server 2019 vo verziách >=16.0.0 AND <16.0.10417.20175
- Microsoft SharePoint Server Subscription Edition vo verziách >=16.0.0 AND <16.0.19725.20434
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
Viac informácií:
- CVE-2026-55040 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1390: Weak Authentication at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 7. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nedostatočného ošetrenia vstupu pri generovaní webovej stránky v produkte Microsoft Exchange Server umožnené po interakcii používateľa vykovať útok typu spoofing [7].
Zraniteľnosť sa nachádza v produktoch:
- Microsoft Exchange Server 2016 CU23 vo verziách >=15.01.0.0 AND <15.01.2507.071
- Microsoft Exchange Server 2019 CU14 vo verziách >=15.02.0.0 AND <15.02.1544.043
- Microsoft Exchange Server 2019 CU15 vo verziách >=15.02.0.0 AND <15.02.1748.048
- Microsoft Exchange Server Subscription Edition RTM vo verziách >=15.02.0.0 AND <15.02.2562.045
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Viac informácií:
- CVE-2026-55008 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 7. 2026.
Odkazy
- [1] https://msrc.microsoft.com/update-guide/releaseNote/2026-Jul
- [2] https://thehackernews.com/2026/07/microsoft-patches-record-622-flaws.html
- [3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56164
- [4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56155
- [5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57092
- [6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55040
- [7] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008
Za CESNET-CERTS Henrieta Paločková dňa 15. 7. 2026.