CVE-2026-47646
Kritisk

CVE-2026-47646: Kritisk fejl i Dynamics 365 Customer Voice

Kritisk XSS-fejl i Microsoft Dynamics 365 Customer Voice giver angribere mulighed for at stjæle data og udgive sig for at være din virksomhed.

CVSS Score
9.3
Offentliggjort
09/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24–48 timer

Hvad er det?

CVE-2026-47646 er en kritisk sikkerhedsfejl i Microsoft Dynamics 365 Customer Voice — det værktøj mange virksomheder bruger til at sende spørgeskemaer og indsamle kundefeedback. Fejlen kaldes cross-site scripting (forkortet XSS), hvilket betyder, at en angriber kan gemme skadelig kode i en webside eller et link. Når du eller en af dine medarbejdere klikker på et inficeret link, aktiveres koden automatisk i browseren. Det kræver ingen teknisk viden hos angriberen at udnytte fejlen, og den kan udføres fra internettet uden forudgående adgang til dit system.

Hvem rammer det?

Fejlen rammer alle virksomheder og organisationer, der bruger Microsoft Dynamics 365 Customer Voice — typisk til kundeundersøgelser, tilfredshedsmålinger eller feedback-formularer. Det gælder både cloud-versionen (online) og integrerede løsninger. Dine medarbejdere, kunder og samarbejdspartnere, der modtager eller klikker på links fra din Dynamics 365 Customer Voice-platform, kan være i farezonen. Særligt salgs-, marketing- og supportteams, der arbejder med kundekommunikation, bør være opmærksomme.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan følgende ske:

  • Identitetstyveri og spoofing: Angriberen kan udgive sig for at være din virksomhed og sende falske beskeder eller formularer til dine kunder.
  • Datatyveri: Følsomme oplysninger som login-tokens og sessionsdata (adgangsnøgler i browseren) kan stjæles, så angriberen får adgang til jeres systemer.
  • Phishing-angreb: Angriberen kan omdirigere dine kunder til falske sider, der ligner jeres rigtige sider, og narre dem til at afgive passwords eller kortoplysninger.
  • Tab af tillid: Hvis kunder modtager svindelbeskeder, der tilsyneladende kommer fra jer, kan det skade jeres omdømme alvorligt.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.3 ud af 10 (Kritisk) af det internationale sikkerhedsorgan CVSS. Det er næsten det højeste niveau. Fejlen kan udnyttes over internettet uden nogen form for forudgående adgang — angriberen behøver blot at få ét klik fra en af dine brugere. Kombinationen af høj fortroligheds- og integritetspåvirkning betyder, at både data og systemadgang er i fare. Den lave angrebskompleksitet gør det til et oplagt mål for selv mindre erfarne angribere.

Hvad gør jeg nu?

Du bør handle hurtigt. Følg disse trin:

  1. Kontrollér din Dynamics 365 Customer Voice-version: Log ind i dit Microsoft 365 administrationscenter og tjek, om du kører en opdateret version af Dynamics 365 Customer Voice.
  2. Installér sikkerhedsopdateringen: Microsoft har udsendt en patch (sikkerhedsrettelse). Sørg for at opdatere hurtigst muligt via Microsoft Update eller dit administrationscenter.
  3. Advar dine medarbejdere: Informér dit team om ikke at klikke på mistænkelige links, der angiveligt kommer fra Customer Voice, og om at rapportere usædvanlig adfærd i browseren.
  4. Gennemgå aktive undersøgelser og formularer: Tjek om der er ukendte eller uautoriserede ændringer i jeres aktive Customer Voice-formularer og spørgeskemaer.
  5. Overvåg loginaktivitet: Se efter usædvanlige login-forsøg eller ukendte sessioner i Microsoft 365’s sikkerhedslog (Audit Log).
  6. Kontakt jeres IT-partner: Er du i tvivl, så kontakt din IT-leverandør eller en sikkerhedskonsulent, der kan hjælpe med at verificere jeres opsætning.
Tidsfrist

Opdatér inden for 24–48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Microsoft Dynamics 365 Customer Voice hurtigst muligt — senest inden for 48 timer. Selvom angrebet kræver et klik fra en bruger, er det let at narre medarbejdere eller kunder via et tilsyneladende legitimt link. Sørg desuden for at informere dine medarbejdere, så de er på vagt over for mistænkelige henvendelser. Har du ikke interne IT-ressourcer til at håndtere dette, er du velkommen til at kontakte os for hjælp.

Tidslinje

09/07/2026
CVE offentliggjort
Microsoft offentliggør CVE-2026-47646 som en del af sin månedlige Patch Tuesday-opdatering. Sårbarheden vurderes som kritisk med en CVSS-score på 9.3.
09/07/2026
Patch udgivet af Microsoft
Microsoft udgiver samtidig en sikkerhedsopdatering til Dynamics 365 Customer Voice, der lukker XSS-sårbarheden. Opdateringen er tilgængelig via Microsoft Update og administrationscenter.
10/07/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere offentliggør tekniske detaljer og demonstrationseksempler (proof-of-concept), der viser, hvordan sårbarheden kan udnyttes. Dette øger risikoen for angreb markant.
11/07/2026
Øget angrebsaktivitet forventet
Baseret på tidligere XSS-sårbarheder i populære SaaS-platforme forventes aktiv udnyttelse af fejlen inden for dage efter offentliggørelse, særligt rettet mod virksomheder, der ikke har opdateret.

Konkrete eksempler

Falsk kundeundersøgelse stjæler login

En angriber finder en ikke-opdateret virksomheds Customer Voice-portal og injicerer skadelig JavaScript-kode i en undersøgelsesformular. Virksomheden sender som sædvanlig linket til sine kunder. Når kunderne klikker og udfylder formularen, kører den skjulte kode i baggrunden og sender kundernes session-cookies (digitale adgangsnøgler) til angriberen, som derefter kan tilgå kundernes konti.

Angriber udgiver sig for at være virksomheden

Via XSS-fejlen manipulerer en angriber udseendet af en aktiv feedback-formular hos en SMV. Formularen omdirigerer medarbejdere og kunder til en falsk loginside, der ser identisk ud med virksomhedens rigtige Microsoft 365-login. Ofrene indtaster deres brugernavn og password, som angriberen opsamler og bruger til at logge ind på virksomhedens systemer.

Intern medarbejder kompromitteret via link i e-mail

En angriber sender en e-mail til en medarbejder i virksomhedens salgsafdeling med et link til en tilsyneladende legitim Customer Voice-undersøgelse. Linket indeholder en indlejret XSS-payload (skadelig kode). Når medarbejderen klikker på linket, stjæles vedkommendes session-token, og angriberen får adgang til medarbejderens Dynamics 365-data — herunder kundeoplysninger og korrespondance.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

Improper neutralization of input during web page generation (‘cross-site scripting’) in Dynamics 365 Customer Voice allows an unauthorized attacker to perform spoofing over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-47646
Offentliggjort
09/07/2026
Sidst opdateret
09/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24–48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.