Von den 83 behobenen Schwachstellen wurde laut Microsofts Sicherheitshinweisen keine aktiv ausgenutzt. Zwei Fehler sind allerdings bereits öffentlich bekannt: die Denial-of-Service-Schwachstelle CVE-2026-26127 in .NET und die Rechteausweitung CVE-2026-21262 in SQL Server. „Diese Fehler bellen lauter, als sie beißen", ordnet Tenable-Forscher Satnam Narang ein. Der DoS-Fehler gelte als unwahrscheinlich ausnutzbar und erfordere einen zuvor autorisierten Angreifer, während die Rechteausweitung als weniger wahrscheinlich ausnutzbar eingestuft worden sei.
Als einzige kritische Schwachstelle nennt Microsoft CVE-2026-21536 mit einem CVSS-Wert von 9.8, eine Schwachstelle zur Remotecodeausführung im Devices Pricing Program. Der Konzern hat sie nach eigenen Angaben bereits vollständig behoben. „Nutzer dieses Dienstes müssen nichts unternehmen. Der Zweck dieser CVE besteht darin, zusätzliche Transparenz zu schaffen", teilt das Unternehmen mit.
Besondere Aufmerksamkeit verdient CVE-2026-26118, eine Schwachstelle zur Rechteausweitung in den Azure MCP Server Tools. Sie lässt sich ausnutzen, indem speziell präparierte Eingaben an ein Server-Tool gesendet werden, das benutzerdefinierte Parameter akzeptiert. Laut Microsoft kann ein Angreifer, der mit dem MCP-gestützten Agenten interagiert, eine bösartige URL anstelle einer regulären Azure-Ressourcenkennung übergeben. Der MCP-Server sende daraufhin eine Anfrage an diese URL und übermittle dabei möglicherweise sein Managed-Identity-Token – so lasse sich das Token ohne administrativen Zugriff abgreifen.
Narang weist darauf hin, dass die Schwachstellen zur Rechteausweitung in Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server und Winlogon Beachtung verdienen könnten, da solche Lücken häufig nach einem ersten Zugriff ausgenutzt werden.
Tyler Reguly, Associate Director bei Fortra, empfiehlt zudem einen Blick auf fünf in diesem Monat behobene Azure-Schwachstellen: eine Rechteausweitung in Azure Linux Virtual Machines (CVE-2026-23665) sowie eine Spoofing- und drei Informationsoffenlegungs-Schwachstellen in Azure IoT Explorer (CVE-2026-26121, CVE-2026-23661, CVE-2026-23662 und CVE-2026-23664). Diese Fehler erforderten nicht standardmäßige Patch-Mechanismen und damit zusätzlichen Aufwand für IT-Teams. „CSOs sollten über belastbare Bestandsverzeichnisse ihrer Cloud-Systeme und -Werkzeuge verfügen, damit Administratoren wissen, wo diese existieren und wann sie behoben werden müssen", sagt Reguly. In einem ruhigen Monat sei das der beste Weg, Systemadministratoren und Sicherheitsteams zu unterstützen.
Darüber hinaus behebt Microsoft zehn CVEs in Fremdkomponenten, darunter einen Fehler im Microsoft Semantic Kernel Python SDK und neun im auf Chromium basierenden Microsoft Edge. Am selben Tag kündigte Adobe Patches für 80 Schwachstellen in seinen Produkten an, darunter Fehler hoher Schwere in Adobe Commerce.
