CRITICAL✓ PATCH🇬🇧 English

CVE-2025-59272

Command injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji

CVSS 9.3v3.1pub. 2025-10-09upd. 2025-12-11

Podatność klasy command injection (CWE-77) w Microsoft 365 Copilot Chat pozwala nieuwierzytelnionemu atakującemu na ujawnienie poufnych informacji. Wysoki wynik CVSS 9.3 i brak wymagań wstępnych czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Improper neutralization of special elements used in a command ('command injection') in Copilot allows an unauthorized attacker to perform information disclosure locally.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej neutralizacji znaków specjalnych interpretowanych jako polecenia (command injection). Atakujący, bez konieczności uwierzytelnienia i interakcji ze strony użytkownika, może przesłać spreparowane dane wejściowe do komponentu Copilot. Podatność jest realizowana lokalnie, jednak zakres naruszenia wykracza poza bezpośredni kontekst aplikacji (Scope: Changed), co zwiększa potencjalny zasięg ataku.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot Chat. Według wektora CVSS możliwy jest wysoki wpływ na poufność danych przy jednoczesnym ograniczonym wpływie na ich integralność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o dostępnych aktualizacjach dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59272

Kogo dotyczy

Microsoft 365 Copilot Chat — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
  • Microsoft 365 Copilot Chat

    APP
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-26137CRITICAL9.9PL ✓ten sam produkt

SSRF w Microsoft Exchange umożliwia eskalację uprawnień sieciowych

CVE-2025-59286CRITICAL9.3PL ✓ten sam produkt

Command Injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji

CVE-2026-26129HIGH7.5ten sam produkt

Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...

CVE-2026-26164HIGH7.5ten sam produkt

Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...

CVE-2025-53787HIGH8.2ten sam produkt

Microsoft 365 Copilot BizChat Information Disclosure Vulnerability