Patch Tuesday - May 2026
Strategic summary
Microsoft's May 2026 Patch Tuesday addresses 137 vulnerabilities, including critical remote code execution (RCE) flaws in Windows Netlogon and DNS Client. The most severe, CVE-2026-41089, is a stack buffer overflow in Netlogon that grants SYSTEM privileges on domain controllers. Another critical RCE in the DNS Client (CVE-2026-41096) provides a network foothold, while a critical elevation of privilege in an Atlassian plugin (CVE-2026-41103) bypasses Entra ID authentication. No active exploitation is currently reported, but immediate patching is strongly recommended.
Key findings
- CVE-2026-41089 in Windows Netlogon: Critical stack buffer overflow with CVSS 9.8, allowing remote code execution as SYSTEM on domain controllers.
- CVE-2026-41096 in Windows DNS Client: Critical RCE that can provide an attacker an initial foothold in the network.
- CVE-2026-41103 in JIRA/Confluence Entra ID authentication plugin: Critical elevation of privilege enabling user impersonation via forged credentials.
- A total of 137 vulnerabilities were patched, with no known active exploitation or public disclosure.
- Additionally, 133 browser vulnerabilities were addressed this month, excluded from the Patch Tuesday count.
Relevance for you
Netlogon-RCE (CVE-2026-41089) kritisch für Active-Directory-Umgebungen; keine bekannte Ausnutzung in freier Wildbahn, aber sofortige Patching von Domain Controllern erforderlich.
Mentioned CVEs
- CVE-2026-41089
- CVE-2020-1472
- CVE-2026-41096
- CVE-2026-41103
- CVE-2026-26129
- CVE-2026-26164
- CVE-2026-41614
- CVE-2026-41100
- CVE-2026-42832
- CVE-2026-41101
- CVE-2026-35435
- CVE-2026-35428
- CVE-2026-32207
- CVE-2026-33109
- CVE-2026-33844
- CVE-2026-41105
- CVE-2026-40379
- CVE-2026-34327
- CVE-2026-40381
- CVE-2026-42823
- CVE-2026-33833
- CVE-2026-32204
- CVE-2026-42830
- CVE-2026-33117
- CVE-2026-41086
- CVE-2026-7898
- CVE-2026-7899
- CVE-2026-7900
- CVE-2026-7901
- CVE-2026-7902
- CVE-2026-7903
- CVE-2026-7904
- CVE-2026-7906
- CVE-2026-7907
- CVE-2026-7908
- CVE-2026-7909
- CVE-2026-7910
- CVE-2026-7911
- CVE-2026-7914
- CVE-2026-7916
- CVE-2026-7917
- CVE-2026-7918
- CVE-2026-7919
- CVE-2026-7920
- CVE-2026-7921
- CVE-2026-7922
- CVE-2026-7923
- CVE-2026-7924
- CVE-2026-7925
- CVE-2026-7926
- CVE-2026-7927
- CVE-2026-7928
- CVE-2026-7929
- CVE-2026-7930
- CVE-2026-7932
- CVE-2026-7933
- CVE-2026-7934
- CVE-2026-7935
- CVE-2026-7936
- CVE-2026-7937
- CVE-2026-7938
- CVE-2026-7939
- CVE-2026-7940
- CVE-2026-7942
- CVE-2026-7943
- CVE-2026-7944
- CVE-2026-7945
- CVE-2026-7946
- CVE-2026-7947
- CVE-2026-7948
- CVE-2026-7949
- CVE-2026-7950
- CVE-2026-7951
- CVE-2026-7952
- CVE-2026-7953
- CVE-2026-7954
- CVE-2026-7955
- CVE-2026-7956
- CVE-2026-7957
- CVE-2026-7958
- CVE-2026-7959
- CVE-2026-7960
- CVE-2026-7961
- CVE-2026-7962
- CVE-2026-7963
- CVE-2026-7964
- CVE-2026-7965
- CVE-2026-7966
- CVE-2026-7967
- CVE-2026-7968
- CVE-2026-7969
- CVE-2026-7970
- CVE-2026-7971
- CVE-2026-7972
- CVE-2026-7973
- CVE-2026-7974
- CVE-2026-7975
- CVE-2026-7976
- CVE-2026-7977
- CVE-2026-7978
- CVE-2026-7979
- CVE-2026-7980
- CVE-2026-7981
- CVE-2026-7982
- CVE-2026-7983
- CVE-2026-7984
- CVE-2026-7985
- CVE-2026-7986
- CVE-2026-7987
- CVE-2026-7988
- CVE-2026-7989
- CVE-2026-7990
- CVE-2026-7991
- CVE-2026-7992
- CVE-2026-7994
- CVE-2026-7995
- CVE-2026-7996
- CVE-2026-7997
- CVE-2026-7998
- CVE-2026-7999
- CVE-2026-8000
- CVE-2026-8001
- CVE-2026-8002
- CVE-2026-8003
- CVE-2026-8004
- CVE-2026-8005
- CVE-2026-8006
- CVE-2026-8007
- CVE-2026-8008
- CVE-2026-8009
- CVE-2026-8010
- CVE-2026-8011
- CVE-2026-8012
- CVE-2026-8013
- CVE-2026-8014
- CVE-2026-8015
- CVE-2026-8016
- CVE-2026-8017
- CVE-2026-8018
- CVE-2026-8019
- CVE-2026-8021
- CVE-2026-8022
- CVE-2026-33111
- CVE-2026-7896
- CVE-2026-7897
- CVE-2026-7905
- CVE-2026-7912
- CVE-2026-7913
- CVE-2026-7915
- CVE-2026-7931
- CVE-2026-7941
- CVE-2026-7993
- CVE-2026-8020
- CVE-2026-42838
- CVE-2026-42891
- CVE-2026-35429
- CVE-2026-40416
- CVE-2026-41107
- CVE-2026-42826
- CVE-2026-32175
- CVE-2026-32177
- CVE-2026-35433
- CVE-2026-42899
- CVE-2026-41109
- CVE-2026-41094
- CVE-2026-41613
- CVE-2026-41612
- CVE-2026-41611
- CVE-2026-41610
- CVE-2025-54518
- CVE-2026-41095
- CVE-2026-35424
- CVE-2026-40377
- CVE-2026-34329
- CVE-2026-41097
- CVE-2026-33839
- CVE-2026-34330
- CVE-2026-34331
- CVE-2026-35423
- CVE-2026-34344
- CVE-2026-34345
- CVE-2026-35416
- CVE-2026-41088
- CVE-2026-34343
- CVE-2026-35418
- CVE-2026-33835
- CVE-2026-34337
- CVE-2026-40407
- CVE-2026-40397
- CVE-2026-34336
- CVE-2026-33834
- CVE-2026-32209
- CVE-2026-35421
- CVE-2026-40403
- CVE-2026-33841
- CVE-2026-35420
- CVE-2026-34339
- CVE-2026-34341
- CVE-2026-33838
- CVE-2026-32161
- CVE-2026-34342
- CVE-2026-34340
- CVE-2026-40398
- CVE-2026-21530
- CVE-2026-32170
- CVE-2026-40410
- CVE-2026-35415
- CVE-2026-40414
- CVE-2026-40401
- CVE-2026-40413
- CVE-2026-35422
- CVE-2026-34351
- CVE-2026-40399
- CVE-2026-34334
- CVE-2026-40406
- CVE-2026-33837
- CVE-2026-40415
- CVE-2026-42825
- CVE-2026-34338
- CVE-2026-40382
- CVE-2026-40380
- CVE-2026-40408
- CVE-2026-34333
- CVE-2026-34347
- CVE-2026-35417
- CVE-2026-7598
- CVE-2026-43870
- CVE-2026-43868
- CVE-2020-13949
- CVE-2026-43869
- CVE-2026-33821
- CVE-2026-40417
- CVE-2026-42898
- CVE-2026-42833
- CVE-2026-40374
- CVE-2026-31706
- CVE-2026-31723
- CVE-2026-31724
- CVE-2026-43053
- CVE-2026-43048
- CVE-2026-31777
- CVE-2026-31722
- CVE-2026-43036
- CVE-2026-31769
- CVE-2026-31707
- CVE-2026-31725
- CVE-2026-43049
- CVE-2026-43022
- CVE-2026-43042
- CVE-2026-31771
- CVE-2026-43052
- CVE-2026-31709
- CVE-2026-43021
- CVE-2026-31712
- CVE-2026-43010
- CVE-2026-43019
- CVE-2026-31729
- CVE-2026-43045
- CVE-2026-43009
- CVE-2026-31715
- CVE-2026-31697
- CVE-2026-31721
- CVE-2026-31711
- CVE-2026-31699
- CVE-2026-31694
- CVE-2026-31705
- CVE-2026-43033
- CVE-2026-31696
- CVE-2026-31698
- CVE-2026-31704
- CVE-2026-31702
- CVE-2026-31708
- CVE-2026-31700
- CVE-2026-43058
- CVE-2026-37457
- CVE-2026-43964
- CVE-2026-43037
- CVE-2026-33190
- CVE-2026-33489
- CVE-2026-32936
- CVE-2026-32934
- CVE-2026-35579
- CVE-2026-43073
- CVE-2026-42151
- CVE-2026-42154
- CVE-2026-43125
- CVE-2026-43248
- CVE-2026-43176
- CVE-2026-43204
- CVE-2026-43131
- CVE-2026-43126
- CVE-2026-43127
- CVE-2026-43161
- CVE-2026-43198
- CVE-2026-43245
- CVE-2025-71290
- CVE-2026-43137
- CVE-2026-43115
- CVE-2026-43234
- CVE-2025-71293
- CVE-2026-43172
- CVE-2025-71285
- CVE-2026-43197
- CVE-2026-43185
- CVE-2025-71273
- CVE-2026-43118
- CVE-2026-43109
- CVE-2026-43153
- CVE-2026-43129
- CVE-2026-43116
- CVE-2026-43274
- CVE-2026-43244
- CVE-2026-43191
- CVE-2026-43258
- CVE-2025-71289
- CVE-2026-43107
- CVE-2026-43243
- CVE-2025-71294
- CVE-2026-43250
- CVE-2026-43237
- CVE-2026-43201
- CVE-2026-43219
- CVE-2026-43165
- CVE-2026-43088
- CVE-2026-43195
- CVE-2025-71272
- CVE-2026-43213
- CVE-2026-43228
- CVE-2026-43216
- CVE-2026-43119
- CVE-2026-43267
- CVE-2026-43101
- CVE-2026-43199
- CVE-2026-43083
- CVE-2026-33523
- CVE-2026-23918
- CVE-2026-34059
- CVE-2026-34032
- CVE-2026-24072
- CVE-2026-33006
- CVE-2026-33007
- CVE-2026-29169
- CVE-2026-29168
- CVE-2026-33857
- CVE-2026-41672
- CVE-2026-41674
- CVE-2026-41675
- CVE-2026-41673
- CVE-2026-25243
- CVE-2026-23631
- CVE-2026-31717
- CVE-2026-31718
- CVE-2026-23479
- CVE-2026-25588
- CVE-2026-25589
- CVE-2026-43474
- CVE-2026-43338
- CVE-2025-71302
- CVE-2026-43318
- CVE-2026-43309
- CVE-2026-43416
- CVE-2025-71299
- CVE-2026-43284
- CVE-2026-43352
- CVE-2026-43300
- CVE-2026-43331
- CVE-2026-43320
- CVE-2026-43306
- CVE-2026-43443
- CVE-2026-43317
- CVE-2026-43319
- CVE-2026-43303
- CVE-2026-43344
- CVE-2026-43321
- CVE-2026-43456
- CVE-2026-43305
- CVE-2026-43298
- CVE-2026-43299
- CVE-2026-43400
- CVE-2026-43310
- CVE-2026-43294
- CVE-2026-43353
- CVE-2026-43292
- CVE-2026-43398
- CVE-2026-43311
- CVE-2026-43421
- CVE-2026-43308
- CVE-2026-37458
- CVE-2026-37459
- CVE-2026-33846
- CVE-2026-6664
- CVE-2026-6665
- CVE-2026-6667
- CVE-2026-6666
- CVE-2026-45130
- CVE-2026-44656
- CVE-2026-33811
- CVE-2026-33814
- CVE-2026-39817
- CVE-2026-39819
- CVE-2026-39820
- CVE-2026-39823
- CVE-2026-39825
- CVE-2026-39826
- CVE-2026-39836
- CVE-2026-42499
- CVE-2026-42501
- CVE-2026-33079
- CVE-2026-41889
- CVE-2026-42257
- CVE-2026-42258
- CVE-2026-42256
- CVE-2026-42246
- CVE-2026-45186
- CVE-2026-7261
- CVE-2026-7258
- CVE-2026-6722
- CVE-2026-6735
- CVE-2026-7262
- CVE-2025-14179
- CVE-2026-7568
- CVE-2026-7259
- CVE-2026-43500
- CVE-2026-40370
- CVE-2026-33840
- CVE-2026-35438
- CVE-2026-42896
- CVE-2026-35419
- CVE-2026-40402
- CVE-2026-40369
- CVE-2026-34332
- CVE-2026-34350
- CVE-2026-40405
Risk score
- cvss base
- 98.00
- kev bonus
- 20.00
- epss bonus
- 10.00
- poc bonus
- 15.00
- raw before weight
- 143.00
- industry weight
- 1.56
- freshness factor
- 1.00
- days old
- 0.00
Path: operational
MITRE ATT&CK mapping
5 TTPsProcedure details
| Technique | Tactic | Procedure | Conf. | Source |
|---|---|---|---|---|
| T1210 Exploitation of Remote Services | Lateral Movement | CVE-2026-41089, a critical stack-based buffer overflow in Windows Netlogon (CVSS 9.8), enables remote code execution in the context of the Netlogon service, granting SYSTEM privileges on domain controllers when exploited remotely. | high | llm |
| T1068 Exploitation for Privilege Escalation | Privilege Escalation | CVE-2026-41096 (JIRA/Confluence Entra ID auth plugin critical EoP) and multiple Microsoft Dynamics 365 elevation of privilege vulnerabilities (CVE-2026-33821, CVE-2026-40417) allow attackers to escalate privileges on affected systems. | high | llm |
| T1190 Exploit Public-Facing Application | Initial Access | CVE-2026-42898 and CVE-2026-42833, critical RCE vulnerabilities in Microsoft Dynamics 365 On-Premises (CVSS 9.9 and 9.1 respectively), allow exploitation of the publicly accessible application to achieve remote code execution. | high | llm |
| T1557 Adversary-in-the-Middle | Credential Access | CVE-2020-1472 (Zerologon), a critical Netlogon privilege escalation vulnerability, allows an unauthenticated attacker to establish a vulnerable Netlogon session to a domain controller, enabling credential compromise and domain takeover. | high | llm |
| T1071.004 DNS | Command and Control | CVE-2026-41103, a critical RCE in the Windows DNS Client, can be exploited to execute arbitrary code via malicious DNS responses, potentially allowing attackers to leverage DNS communication for exploitation. | medium | llm |