W Microsoft 365 Copilot Chat wykryto podatność typu command injection (CWE-77), która pozwala nieuwierzytelnionemu atakującemu na ujawnienie poufnych informacji przez sieć. Krytyczny poziom CVSS (9.3) wynika z braku wymagań uwierzytelnienia oraz szerokiego zasięgu ataku przez Internet.
▸ Pokaż oryginał (EN)
Improper neutralization of special elements used in a command ('command injection') in Copilot allows an unauthorized attacker to disclose information over a network.
Podatność polega na nieprawidłowej neutralizacji znaków specjalnych używanych w poleceniach (command injection) w komponencie Copilot. Atakujący może spreparować odpowiednie dane wejściowe przekazywane do podatnego mechanizmu przetwarzania poleceń bez konieczności posiadania konta lub uprawnień. Skuteczne wykorzystanie podatności prowadzi do nieautoryzowanego ujawnienia informacji w kontekście przekraczającym granice systemu (Scope: Changed).
Nieuwierzytelniony atakujący zdalny może uzyskać nieautoryzowany dostęp do poufnych informacji przetwarzanych przez Microsoft 365 Copilot Chat, potencjalnie obejmujących dane użytkowników i organizacji. Podatność nie umożliwia bezpośredniej modyfikacji danych ani zakłócenia dostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59286. Jako środek uzupełniający zaleca się monitorowanie dostępu do usług Microsoft 365 Copilot Chat oraz ograniczenie ekspozycji na zewnętrzne dane wejściowe tam, gdzie jest to możliwe.
Microsoft 365 Copilot Chat — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:NMicrosoft 365 Copilot Chat
APPMicrosoftwszystkie wersje
Powiązane podatności
SSRF w Microsoft Exchange umożliwia eskalację uprawnień sieciowych
Command injection w Microsoft 365 Copilot Chat umożliwiający ujawnienie informacji
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...
Improper neutralization of special elements used in a command ('command injection') in M365 Copilot allows an ...
Microsoft 365 Copilot BizChat Information Disclosure Vulnerability