ИБ‑исследователь Джастин О’Лири обнаружил в марте 2026 г. уязвимость в Azure Backup for AKS, позволяющую получить права cluster‑admin, имея только роль Backup Contributor. Microsoft отклонил его отчёт, заявив, что проблема не является уязвимостью, а CERT/CC подтвердил её наличие и присвоил VU#284781. После вмешательства Microsoft отказался присвоить CVE, а позже внесёл изменения, которые отключили автоматический Trusted Access, но без публичного уведомления. О’Лири отмечает, что отсутствие CVE затрудняет оценку риска для клиентов.
