Multiple high-severity vulnerabilities (including CVE-2026-21262 with CVSS 8.8) in several Microsoft Azure components allow for privilege escalation, data confidentiality breaches, and security policy bypass. Affected systems include Azure Connected Machine Agent versions prior to 1.61, Azure IoT Explorer prior to 0.15.14, and Azure Diagnostics extension for Linux VMs prior to 2.1.24, among others. Administrators must apply the specific patches referenced in the corresponding Microsoft security bulletins for each CVE.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 11 mars 2026 N° CERTFR-2026-AVI-0273 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Microsoft Azure Gestion du document Référence CERTFR-2026-AVI-0273 Titre Multiples vulnérabilités dans Microsoft Azure Date de la première version 11 mars 2026 Date de la dernière version 11 mars 2026 Source(s) Bulletin de sécurité Microsoft Azure CVE-2026-21262 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-23661 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-23662 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-23664 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-23665 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-26115 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-26117 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-26118 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-26121 du 10 mars 2026 Bulletin de sécurité Microsoft Azure CVE-2026-26148 du 10 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Élévation de privilèges Systèmes affectés Arc Enabled Servers - Azure Connected Machine Agent versions antérieures à 1.61 Azure IoT Explorer versions antérieures à 0.15.14 Azure Linux Virtual Machines with Azure Diagnostics extension versions antérieures à 2.1.24 Azure MCP Server Tools versions antérieures à 2.0.0-beta.17 Microsoft Azure AD SSH Login extension pour Linux versions antérieures à 1.0.033370002 Résumé De multiples vulnérabilités ont été découvertes dans Microsoft Azure. Elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et un contournement de la politique de sécurité. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Microsoft Azure CVE-2026-21262 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21262 Bulletin de sécurité Microsoft Azure CVE-2026-23661 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23661 Bulletin de sécurité Microsoft Azure CVE-2026-23662 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23662 Bulletin de sécurité Microsoft Azure CVE-2026-23664 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23664 Bulletin de sécurité Microsoft Azure CVE-2026-23665 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23665 Bulletin de sécurité Microsoft Azure CVE-2026-26115 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26115 Bulletin de sécurité Microsoft Azure CVE-2026-26117 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26117 Bulletin de sécurité Microsoft Azure CVE-2026-26118 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26118 Bulletin de sécurité Microsoft Azure CVE-2026-26121 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26121 Bulletin de sécurité Microsoft Azure CVE-2026-26148 du 10 mars 2026 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26148 Référence CVE CVE-2026-21262 https://www.cve.org/CVERecord?id=CVE-2026-21262 Référence CVE CVE-2026-23661 https://www.cve.org/CVERecord?id=CVE-2026-23661 Référence CVE CVE-2026-23662 https://www.cve.org/CVERecord?id=CVE-2026-23662 Référence CVE CVE-2026-23664 https://www.cve.org/CVERecord?id=CVE-2026-23664 Référence CVE CVE-2026-23665 https://www.cve.org/CVERecord?id=CVE-2026-23665 Référence CVE CVE-2026-26115 https://www.cve.org/CVERecord?id=CVE-2026-26115 Référence CVE CVE-2026-26117 https://www.cve.org/CVERecord?id=CVE-2026-26117 Référence CVE CVE-2026-26118 https://www.cve.org/CVERecord?id=CVE-2026-26118 Référence CVE CVE-2026-26121 https://www.cve.org/CVERecord?id=CVE-2026-26121 Référence CVE CVE-2026-26148 https://www.cve.org/CVERecord?id=CVE-2026-26148 Gestion détaillée du document le 11 mars 2026 Version initiale