Azure DevOps CVE-2026-42826: CVSS 10.0

Microsoft hat eine CVSS-10-Bombe entschärft – heimlich, am Wochenende. CVE-2026-42826 riss in Azure DevOps eine Information-Disclosure-Lücke auf, die übers Internet aktiv und unauthentifiziert nutzbar war. Du musst nichts patchen, aber DEINE Logs solltest du JETZT lesen.

SCHOCK: Höchster CVSS-Score, den es gibt

10.0 in CVSS v3.1 ist die TOP-Stufe. Übersetzt heißt das: ein unauthentifizierter Angreifer aus dem Netz konnte sensible Daten in Azure DevOps abrufen, ohne sich anzumelden, ohne einen User auszutricksen und ohne lokale Vorbedingungen. Confidentiality, Integrity und Availability sind „high“ markiert.

WAS leaken konnte

Microsoft beschreibt die Lücke als „Exposure of Sensitive Information to an Unauthorized Actor“ (CWE-200). Heißt im Klartext: irgendeine API-Route hat Daten ausgeliefert, die sie nie hätte ausliefern dürfen – möglicherweise Pipeline-Variablen, Personal Access Tokens, Source-Code-Schnipsel oder Build-Artefakte aus fremden Tenants.

HAMMER: Microsoft hat schon gepatcht

Die gute Nachricht: Microsoft hat das Loch serverseitig dichtgemacht. „No customer action required“ steht im Advisory. Du musst nicht updaten, nicht neu starten, nicht migrieren – das Service-Team hat alles still gefixt. Genau deshalb ist die Lücke aber auch heute erst öffentlich aufgetaucht: Microsoft wartet, bis der Patch global durch ist, und zieht erst dann den Vorhang weg.

SOFORT-CHECK: Audit-Logs zwischen 5. und 7. Mai

Auch wenn Microsoft nichts zur Ausnutzung sagt – wer Azure DevOps mit sensiblen Repos nutzt, sollte:

Azure Sentinel oder Audit-Logs für den Zeitraum 2026-05-05 bis 2026-05-07 auf ungewöhnliche API-Reads filtern.
PAT-Tokens rotieren, die in dem Zeitraum aktiv waren.
Pipeline-Variablen-Secrets mit hoher Sensibilität neu setzen.
Build-Logs auf ungewohnte Source-IPs querprüfen.

EXTRA-TIPP: Conditional Access härten

Wer noch keine Azure AD Conditional Access-Regeln für DevOps gesetzt hat, soll das jetzt nachholen. Eine IP-basierte Allow-List für DevOps-API-Aufrufe kostet zehn Minuten und reduziert die Angriffsfläche bei zukünftigen Lücken massiv.

FAZIT: Patch geräuschlos, Risiko nicht

CVE-2026-42826 ist ein Lehrstück: kritische Lücken in Cloud-Services patcht der Anbieter ohne dein Zutun – aber das heißt nicht, dass nichts passiert ist. Logs lesen, Token rotieren, Conditional Access härten. So bist du beim nächsten Mal vorbereitet.

Häufige Fragen

Was bedeutet CVSS 10.0 hier konkret?

Score 10.0 ist die maximale Stufe. Der Angriff funktioniert übers Netz, ohne Authentifizierung, ohne User-Interaktion und beeinflusst Confidentiality, Integrity und Availability schwer. Bei Information-Disclosure heißt das: ein Angreifer aus dem Internet konnte Daten abrufen, die er nie hätte sehen dürfen – ohne irgendeine Hürde dazwischen.

Welche Azure-DevOps-Daten waren betroffen?

Microsofts Advisory ist hier dünn. Es spricht von „Sensitive Information“ – also Token, Pipeline-Variablen, Credentials oder Source-Code. Die Beschreibung klingt nach einem Access-Control-Bruch in einer API-Route, der Dritten Zugriff auf Daten anderer Tenants erlaubt hätte. Genaue Endpoints nennt Microsoft nicht.

Muss ich was tun, wenn ich Azure DevOps nutze?

Patch-technisch nein – Microsoft hat das Loch serverseitig zugemacht (no customer action required). Aber: Audit-Logs für Mai 2026 prüfen, vor allem ungewohnte API-Reads von externen IPs, ungewöhnliche pat-token-rotations und Pipeline-Zugriffe. Wer paranoid ist, rotiert PATs und Pipeline-Secrets vorsichtshalber.

Gab es schon aktive Angriffe?

Microsoft macht zur In-the-Wild-Exploitation keine offizielle Aussage. Da der Patch serverseitig liegt, ist die Lücke geschlossen, ohne dass Kunden mitwirken müssen – was aber NICHT heißt, dass vor dem Patch nichts passiert ist. Für sensible Tenants gilt: Azure-Sentinel-Suche auf 2026-05-05 bis 2026-05-07 ausweiten.

Quellen: Microsoft MSRC Advisory, TheHackerWire CVE-2026-42826, OffSeq Threat Radar.

AZURE-ALARM! CVSS 10.0 in DevOps — Geheimnisse leaken JETZT übers Netz