Podatność klasy command injection (CWE-77) w Microsoft 365 Copilot Chat pozwala nieuwierzytelnionemu atakującemu na ujawnienie poufnych informacji. Wysoki wynik CVSS 9.3 i brak wymagań wstępnych czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in a command ('command injection') in Copilot allows an unauthorized attacker to perform information disclosure locally.
Błąd polega na nieprawidłowej neutralizacji znaków specjalnych interpretowanych jako polecenia (command injection). Atakujący, bez konieczności uwierzytelnienia i interakcji ze strony użytkownika, może przesłać spreparowane dane wejściowe do komponentu Copilot. Podatność jest realizowana lokalnie, jednak zakres naruszenia wykracza poza bezpośredni kontekst aplikacji (Scope: Changed), co zwiększa potencjalny zasięg ataku.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot Chat. Według wektora CVSS możliwy jest wysoki wpływ na poufność danych przy jednoczesnym ograniczonym wpływie na ich integralność.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o dostępnych aktualizacjach dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59272
Microsoft 365 Copilot Chat — wersje wskazane w referencjach producenta
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:NMicrosoft 365 Copilot Chat
APPMicrosoftwszystkie wersje
Powiązane podatności
SSRF w Microsoft Exchange umożliwia eskalację uprawnień sieciowych
Command Injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...
Microsoft 365 Copilot BizChat Information Disclosure Vulnerability