Plateforme
azure
Composant
himmelblau
Corrigé dans
2.0.1
3.0.1
Une vulnérabilité d'escalade de privilèges conditionnelle a été découverte dans Himmelblau IDM, une suite d'interopérabilité pour Microsoft Azure Entra ID et Intune. Cette faille, présente dans les versions 2.0.0-alpha–>= 3.0.0-alpha et inférieures à 3.1.1, permet à un attaquant authentifié d'exploiter une collision de noms dans des circonstances spécifiques. La mise à jour vers la version 3.1.1 corrige cette vulnérabilité.
L'impact de cette vulnérabilité réside dans la possibilité pour un utilisateur authentifié de contourner les mécanismes de contrôle d'accès et d'obtenir des privilèges plus élevés sur le système. L'attaquant peut exploiter une collision de noms entre son nom d'utilisateur (CN/short name) et un nom de groupe local privilégié (comme 'sudo', 'wheel', 'docker', 'adm'). Si le système utilise les résultats NSS (Name Service Switch) pour les décisions d'autorisation basées sur les groupes (sudo, polkit, etc.), l'attaquant peut être associé à ce groupe privilégié, lui permettant d'exécuter des commandes avec ses droits. Cette vulnérabilité présente un risque significatif pour la sécurité des environnements Azure Entra ID et Intune, car elle peut permettre un accès non autorisé à des ressources critiques et compromettre l'intégrité du système.
Cette vulnérabilité a été publiée le 1er avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée, car elle nécessite une authentification préalable et une collision de noms spécifique. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour concernant cette vulnérabilité.
Organizations heavily reliant on Azure Entra ID and Intune for user management and authentication are at increased risk. Environments with legacy configurations or inconsistent naming conventions for user accounts are particularly vulnerable. Shared hosting environments where user accounts have limited control over their CN/short names may also be affected.
• windows / supply-chain:
Get-WinEvent -LogName Security -Filter "EventID = 4624 -MessageText '*sudo*'"• linux / server:
journalctl | grep -i 'nss_init' | grep -i 'group' • generic web:
curl -I http://<your_himmelblau_idm_url>/ | grep 'Server: Himmelblau IDM' disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Himmelblau IDM vers la version 3.1.1 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à s'assurer que les noms d'utilisateur des utilisateurs mappés ne correspondent pas aux noms de groupes locaux privilégiés. Il est également recommandé de renforcer les politiques d'autorisation basées sur les groupes et de limiter l'utilisation de NSS pour les décisions d'autorisation critiques. En cas de collision de noms, envisagez de modifier les noms d'utilisateur ou les noms de groupes locaux pour éviter le conflit. Après la mise à jour, vérifiez la configuration de NSS pour vous assurer que les groupes sont correctement résolus.
Mettez à jour Himmelblau à la version 2.3.9 ou supérieure, ou à la version 3.1.1 ou supérieure, selon la branche de version utilisée. Cela corrige la vulnérabilité d'élévation de privilèges locaux.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34397 is a local privilege escalation vulnerability in Himmelblau IDM, allowing authenticated users to potentially gain elevated privileges through a naming collision.
You are affected if you are using Himmelblau IDM versions 2.0.0-alpha through 3.1.0 and your system relies on NSS for group-based authorization decisions.
Upgrade Himmelblau IDM to version 3.1.1 or later to remediate the vulnerability. Consider stricter naming conventions for user accounts as a temporary workaround.
There is currently no indication of active exploitation of CVE-2026-34397, but it is important to apply the patch promptly.
Refer to the official Himmelblau IDM security advisory for detailed information and updates regarding CVE-2026-34397.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.