Vulnerabilities ›

CVE-2026-24304

Critical

Critical Privilege Escalation in Microsoft Azure Resource Manager (CVE-2026-24304)

CWE-284 — Weakness Type

                    Published: Jan 23, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

9.9

🔗 NVD Official

📄 Description (English)

Improper access control in Azure Resource Manager allows an authorized attacker to elevate privileges over a network.

🤖 AI Executive Summary

A critical privilege escalation vulnerability in Azure Resource Manager allows authenticated attackers to elevate their privileges through improper access control mechanisms. This network-exploitable flaw affects organizations using Azure services without proper permission boundaries.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خطراً حرجاً على البنية التحتية السحابية حيث تسمح لمهاجم مصادق عليه بتجاوز آليات التحكم في الوصول المعمول بها في مدير موارد أزور. يمكن للمهاجم استغلال الثغرة عن بعد عبر الشبكة دون الحاجة لتفاعل المستخدم، مما يمكنه من الحصول على صلاحيات إدارية كاملة على الموارد السحابية. تؤثر الثغرة على جميع إصدارات مدير موارد أزور وتشكل تهديداً مباشراً للمؤسسات التي تعتمد على الخدمات السحابية لمايكروسوفت. نظراً لعدم توفر تحديث أمني حالياً، يجب على المؤسسات تطبيق إجراءات تخفيف المخاطر الفورية. تصنف الثغرة ضمن CWE-284 المتعلق بالتحكم غير الصحيح في الوصول، وتحمل درجة خطورة 9.9 مما يستدعي استجابة عاجلة من فرق الأمن السيبراني.

🤖 ملخص تنفيذي (AI)

تم اكتشاف ثغرة أمنية حرجة لتصعيد الصلاحيات (درجة خطورة 9.9) في مدير موارد مايكروسوفت أزور بسبب ضعف في التحكم بالوصول. يمكن لمهاجم مصادق عليه استغلال هذه الثغرة عبر الشبكة لتصعيد صلاحياته والحصول على وصول إداري غير مصرح به لموارد أزور. لا يوجد تحديث أمني متاح حالياً ولم يتم رصد استغلال نشط للثغرة.

🤖 AI Intelligence Analysis Analyzed: Apr 4, 2026 17:09

🇸🇦 Saudi Arabia Impact Assessment

Relevance: high

🏢 Affected Saudi Sectors

البنوك والخدمات المالية الجهات الحكومية الاتصالات وتقنية المعلومات الطاقة والبترول التقنية المالية الرعاية الصحية التعليم التجارة الإلكترونية

🎯 MITRE ATT&CK Techniques

T1078 T1078.004 T1098 T1484 T1068 T1548 T1550 T1069.003

⚖️ Saudi Risk Score (AI)

9.8

/ 10.0

🔧 Remediation Steps (English)

Immediately audit and enforce Azure RBAC policies, implement least privilege access controls, and apply all available security patches to Azure Resource Manager instances.

🔧 خطوات المعالجة (العربية)

قم بفحص سياسات التحكم في الوصول القائم على الأدوار (RBAC) في Azure فوراً وطبق أقل صلاحيات ممكنة مع تثبيت جميع التحديثات الأمنية المتاحة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-1 (Cybersecurity Governance) ECC-2-1 (Third Party and Cloud Computing Cybersecurity) ECC-3-1 (Cybersecurity Operations) ECC-4-1 (Cybersecurity Resilience) ECC-5-1 (Identity and Access Management) ECC-5-2 (Privileged Access Management)

🔵 SAMA CSF

SAMA-CCC-1.1 (Cybersecurity Strategy) SAMA-CCC-2.2 (Third Party Risk Management) SAMA-CCC-3.1 (Access Control) SAMA-CCC-3.2 (Privileged Access Management) SAMA-CCC-4.1 (Security Monitoring) SAMA-CCC-5.1 (Incident Response)

🟡 ISO 27001:2022

A.9.1.1 (Access Control Policy) A.9.2.1 (User Registration and De-registration) A.9.2.3 (Management of Privileged Access Rights) A.9.4.1 (Information Access Restriction) A.12.4.1 (Event Logging) A.16.1.4 (Assessment of Security Events)

🔗 References & Sources 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24304

secure@microsoft.com

Vendor Advisory

📦 Affected Products / CPE 1 entries

microsoft:azure_resource_manager:-

📊 CVSS Score

9.9

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.9

CWECWE-284

EPSS0.05%

Exploit No

Patch ✓ Yes

Published 2026-01-23

Source Feed nvd

🇸🇦 Saudi Risk Score

9.8

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-284

🏢 Vendor Advisories

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-24304

Introduce Yourself

Sign In Required